AWS Control Tower の AWS アカウントについて - AWS Control Tower
既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項共有アカウントについて

AWS Control Tower の AWS アカウントについて

AWS アカウント は、ユーザーが所有するすべてのリソースのコンテナです。こうしたリソースとしてアカウントで容認される AWS Identity and Access Management (IAM) アイデンティティがあり、これによってそのアカウントにアクセスできるユーザーが決まります。IAM アイデンティティには、ユーザー、グループ、ロールなどがあります。AWS Control Tower で IAM、ユーザー、ロール、およびポリシーを使用する方法の詳細については、「AWS Control Tower の Identity and Access Management」を参照してください。

リソースとアカウントの作成時間

AWS Control Tower は、アカウントを作成または登録すると、そのアカウントに最低限必要なリソース設定をデプロイします。Account Factory テンプレート形式のリソースや、ランディングゾーン内のその他のリソースなどです。このようなリソースとして、IAM ロール、AWS CloudTrail 証跡、Service Catalog でプロビジョニングされた製品、IAM Identity Center ユーザーなどがあります。AWS Control Tower は、コントロール設定に応じて、新しいアカウントがメンバーアカウントになることになっている組織単位 (OU) のリソースもデプロイします。

AWS Control Tower は、ユーザーに代わってこれらのリソースのデプロイをオーケストレートします。デプロイを完了するにはリソースごとに数分かかる場合があるため、アカウントを作成または登録する前に作業の合計時間を考慮してください。アカウントのリソースの管理の詳細については、「AWS Control Tower リソースの作成と変更に関するガイダンス」を参照してください。

既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項

AWS アカウントをセキュリティアカウントまたはログアカウントとして受け入れる前に、AWS Control Tower は、AWS Control Tower の要件と競合するリソースがないかアカウントをチェックします。例えば、ロギングバケットの名前が AWS Control Tower が必要とする名前と同じである場合があります。また、AWS Control Tower は、アカウントがリソースをプロビジョニングできることを検証します。例えば、AWS Security Token Service (AWS STS) が有効になっていること、アカウントが一時停止されていないこと、AWS Control Tower がアカウント内のリソースをプロビジョニングする許可を持っていることを確認します。

AWS Control Tower は、お客様が指定したログアカウントやセキュリティアカウント内の既存のリソースを削除しません。ただし、AWS リージョンの拒否機能を有効にすると、リージョン拒否コントロールにより、拒否されたリージョン内のリソースへのアクセスが禁止されます。

共有アカウントについて

AWS Control Tower には、3 つの特別な AWS アカウント (管理アカウント、監査アカウント、ログアーカイブアカウント) が関連付けられています。これらのアカウントは通常、共有アカウントと呼ばれ、場合によってはコアアカウントと呼ばれることもあります。

  • ランディングゾーンのセットアップ時に、監査アカウントとログアーカイブアカウントの名前をカスタマイズすることを選択できます。アカウント名の変更については、「AWS Control Tower の外部でのリソース名の変更」を参照してください。

  • ランディングゾーンの最初のセットアッププロセスでは、既存の AWS アカウントを AWS Control Tower のセキュリティまたはログアカウントとして指定することもできます。このオプションを使用すると、AWS Control Tower で新しい共有アカウントを作成する必要がなくなります (これは 1 回限りの選択です)。

共有アカウントおよび関連リソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

管理アカウント

この AWS アカウント が AWS Control Tower を起動します。デフォルトでは、このアカウントのルートユーザーおよびこのアカウントの IAM ユーザーまたは IAM 管理者ユーザーは、ランディングゾーン内のすべてのリソースへのフルアクセス権を持っています。

注記

ベストプラクティスとして、AWS Control Tower コンソール内で管理機能を実行するときには、このアカウントのルートユーザーまたは IAM 管理者ユーザーとしてサインインするのではなく、管理者権限を持つ IAM Identity Center ユーザーとしてサインインすることをお勧めします。

管理アカウントで使用できるロールとリソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

ログアーカイブアカウント

ログアーカイブ共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

このアカウントには、集約型の Amazon S3 バケットがあり、ランディングゾーンにある他のすべてのアカウントのすべての AWS CloudTrail ログファイルと AWS Config ログファイルのコピーが保存されます。ベストプラクティスとして、ログアーカイブアカウントへのアクセスを制限することをお勧めします。コンプライアンスと調査を担当し、それに関連するセキュリティツールまたは監査ツールを使用するチームに制限します。このアカウントは、自動セキュリティ監査に使用できるほか、Lambda 関数などのカスタム AWS Config ルール をホストして修復アクションを実行する場合にも使用できます。

Amazon S3 バケットポリシー

AWS Control Tower ランディングゾーンバージョン 3.3 以降では、アカウントは監査バケットへの書き込みアクセス許可のために、aws:SourceOrgID 条件を満たす必要があります。この条件によってのみ、CloudTrail は組織内のアカウントに代わってお客様の S3 バケットへログを書き込めるようになり、組織外の CloudTrail ログによるお客様の AWS Control Tower S3 バケットへの書き込みを防ぎます。詳細については、「AWS Control Tower ランディングゾーンバージョン 3.3」を参照してください。

ログアーカイブアカウントで使用可能なロールとリソースの詳細については、「ログアーカイブアカウントのリソース」を参照してください。

注記

これらのログは変更できません。アカウントアクティビティに関連する監査とコンプライアンス調査の目的で、すべてのログが保存されます。

監査アカウント

この共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

監査アカウントは、セキュリティとコンプライアンスのチームに制限することをお勧めします。チームは、ランディングゾーン内のすべてのアカウントに対して監査人 (読み取り専用) と管理者 (フルアクセス) というアカウント横断的なロールを持ちます。このようなロールは、セキュリティとコンプライアンスのチームが次の目的で使用するためのものです。

  • カスタム AWS Config ルール Lambda 関数のホストなど、AWS メカニズムを使用して監査を実行します。

  • 修復アクションなど、自動化されたセキュリティ操作を実行します。

また、監査アカウントは Amazon Simple Notification Service (Amazon SNS) サービスから通知を受け取ります。次の 3 つのカテゴリの通知を受け取ることができます。

  • すべての設定イベント - このトピックでは、ランディングゾーン内のすべてのアカウントから受け取ったすべての CloudTrail 通知と AWS Config 通知が集約されます。

  • セキュリティ通知の集約 — このトピックでは、特定の CloudWatch イベント、AWS Config ルール コンプライアンスステータス変更イベント、および GuardDuty 検出結果から受け取ったすべてのセキュリティ通知が集約されます。

  • ドリフト通知 - このトピックでは、ランディングゾーン内のすべてのアカウント、ユーザー、OU、および SCP で検出されたすべてのドリフト警告が集約されます。ドリフトの詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。

メンバーアカウント内でトリガーされる監査通知では、ローカルの Amazon SNS トピックにアラートを送信することもできます。この機能により、アカウント管理者は個々のメンバーアカウントに固有の監査通知をサブスクライブできます。そのため、管理者は個々のアカウントに影響する問題を解決しながら、一元管理された監査アカウントにすべてのアカウント通知を集約できます。詳細については、「Amazon Simple Notification Service デベロッパーガイド」を参照してください。

監査アカウントで使用できるロールとリソースの詳細については、「アカウントリソースを監査する」を参照してください。

プログラムによる監査の詳細については、「Programmatic roles and trust relationships for the AWS Control Tower audit account」を参照してください。

重要

監査アカウントに指定した E メールアドレス宛てに、AWS Control Tower でサポートされているすべての AWS リージョンから「AWS 通知 – サブスクリプションの確認」という件名の E メールが届きます。監査アカウントでコンプライアンスメールを受信するには、AWS Control Tower でサポートされている各 AWS リージョンからの各メール内の [Confirm subscription] (サブスクリプションの確認) リンクを選択する必要があります。