翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ベースラインのタイプ
AWS Control Tower のベースラインは、ターゲットに適用できるリソースと特定の設定のグループです。最も一般的なベースラインターゲットは組織単位 (OU) かもしれません。たとえば、OU をターゲットとして選択したベースラインを有効にして、その OU を AWS Control Tower に登録できます。
ランディングゾーンの設定中、ベースラインターゲットは共有アカウントでもlanding zone 全体でもかまいません。特定のベースラインは、landing zone 設定と構成に基づいて有効化および更新される場合があります。AWS Control Tower は、ベースラインで指定されている方法でリソースを作成し、ターゲットにデプロイします。
ターゲットのベースラインを有効にすると、 AWS CloudFormation ベースラインはリソースと呼ばれるリソースとして表されます。EnabledBaseline
AWS Control Tower には、次の 4 つの基本タイプのベースラインが含まれています。
-
1 つのタイプは、AWS Control Tower に登録されている OU に適用することも、ベースラインを適用して登録する予定の OU に適用することもできます。
-
landing zone または共有アカウントには、初期設定時またはランディングゾlanding zone 更新時に、3 つのベースラインタイプを適用できます。
OU レベルで適用される OU の登録と更新に使用されるベースラインタイプ
-
名前:
AWSControlTowerBaseline
説明:AWS Control Tower のガバナンスに必要な、ターゲット OU 内のメンバーアカウントのリソースと必須コントロールを設定します。
考慮事項:このベースラインは、landing zone 地域拒否制御の設定を保持します。つまり、landing zone レベルでリージョンが許可されていない場合、
EnableBaseline
API を呼び出して OU を登録しても、その OU ではそのリージョンは許可されません。注記
OU レベルのリージョン拒否コントロールでは、landing zone リージョン拒否コントロールで許可されていないリージョンを許可する方法はありません。
詳細については、ドキュメントの「SCP による拒否の仕組み」を参照してください。 AWS Organizations
推奨事項:OU の
EnableBaseline
API を呼び出す前に、ターゲット OU がワークロードを実行している可能性のあるリージョンを確認し、結果をlanding zone リージョン拒否コントロールと照合することをお勧めします。そうしないと、特定のリージョンのリソースにアクセスできなくなる可能性があります。
注記
ランディングゾーンベースラインは OU レベルのベースラインとは動作が異なります。
AWS Control Tower は、ランディングゾーンのセットアップと更新プロセスの一環として、landing zone レベルで適用されるベースラインを自動的に有効にします。landing zone ベースラインは、ランlanding zone 設定を変更すると変わる可能性があります。たとえば、IAM Identity Center を選択した場合、AWS Control Tower はlanding zone IdentityCenterBaseline
でベースラインの最新バージョンを有効にできます。
landing zone で有効になっているベースラインは、ListEnabledBaselines
API 呼び出しで確認できます。
landing zone または共有アカウントに適用される可能性のあるベースラインタイプ
-
名前:
AuditBaseline
説明:組織内のアカウントのセキュリティとコンプライアンスを監視するためのリソースを設定します。このベースラインは変更できません。AWS Control Tower によってデプロイされます。
-
名前:
LogArchiveBaseline
説明:組織内のアカウントからの API アクティビティとリソース設定のログを一元管理するリポジトリを設定します。このベースラインは変更できません。AWS Control Tower によってデプロイされます。
-
名前:
IdentityCenterBaseline
説明:IAM Identity Center の共有リソースを設定します。これにより、がアカウントの ID
AWSControlTowerBaseline
センターへのアクセスを設定する準備が整います。考慮事項:このベースラインは、landing zone を最初に設定したときに ID プロバイダーとして IAM Identity Center を選択した場合、または後でlanding zone 設定を変更してlanding zone の IAM Identity Center を有効にする場合にのみ機能します。別の ID プロバイダーを使用している場合は、このベースラインを有効にするアクセス権がありません。
アカウントの一部登録
ベースラインを操作しているとき、アカウントは「一部登録済み」という状態になることがあります。
この状態は、ResetEnabledBaseline
API を呼び出して OU を再登録した場合に発生する可能性があります。これは、AWS Control Tower がターゲット OU のアカウントに必須リソースのみを適用するためです。親 OU のオプションリソース (コントロール) がないアカウントは、「一部登録済み」とマークされます。
未登録のアカウントを登録済みの OU に移動し、その OU ResetEnabledBaseline
の API を呼び出してそのアカウントを登録すると、AWS Control Tower はに関連付けられたリソースを新しく登録されたアカウントに適用します。AWSControlTowerBaseline
ただし、この OU で有効になっているオプションのコントロールはアカウントには適用されません。アカウントは「一部登録済み」状態のままです。
アカウントを完全に登録するには、コンソールで [再登録] または [アカウントを更新] を選択します。コンソールからこれらのオペレーションを選択すると、AWS Control Tower は、その OU に対して有効化されたオプションのコントロールを含め、その OU のすべてのリソースを新しく登録されたアカウントに適用します。
AWS Control Tower コンソールとベースライン用 API の運用の違い
OU のガバナンスステータスを変更すると、ベースライン用の API を使用してガバナンスを変更する場合と比較して、AWS Control Tower コンソールが自動的に実行する操作が増えます。
差異
-
製品の登録とプロビジョニング
コンソールから OU を登録すると、AWS Control Tower は各アカウントの登録の一環として、OU のメンバーアカウント用のService Catalog 製品を作成します。
EnableBaseline
API とを使用して OU を登録してもAWSControlTowerBaseline
、AWS Control Tower は OU 内のメンバーアカウント用のプロビジョニング済み製品を作成しません。 -
OU の登録を解除します。
OU の登録を解除するときはいつでも、まずすべてのメンバーアカウントとネストされた OU を削除する必要があります。次に、AWS Control Tower は OU に適用されているすべてのコントロールを削除します。
-
コンソールから [OU を削除] を選択すると、AWS Control Tower は組織からの OU の登録解除と削除に進みます。
-
ただし、
DisableBaseline
API を呼び出して OU を削除して OU の登録を解除しても、AWS Control Tower は組織から OU を削除せず、OU は未登録のまま組織に存在します。AWSControlTowerBaseline
-
ベースラインとバージョニングのデフォルト
AWS Control Tower のlanding zone がすでにセットアップされていて、landing zone ベースラインを有効にすることを選択した場合、AWS Control Tower はlanding zone バージョンと互換性のある最新バージョンのベースラインを有効にします。AWS Control Tower にまだ登録されていない OU のベースラインを有効にすることを選択した場合、AWS Control Tower はその OU と互換性のある最新のベースラインを自動的に提供します。