AWS Control Tower AWS アカウント での について - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower AWS アカウント での について

AWS アカウント は、所有しているすべてのリソースのコンテナです。これらのリソースには、アカウントによって受け入れられる AWS Identity and Access Management (IAM) ID が含まれ、これにより、そのアカウントにアクセスできるユーザーを決定します。IAM ID には、ユーザー、グループ、ロールなどが含まれます。Control Tower での IAM、ユーザー、ロール、ポリシーの操作の詳細については、AWS「Control Tower での Identity and Access ManagementAWS」を参照してください。

リソースとアカウントの作成時間

AWS Control Tower は、アカウントを作成または登録するときに、Account Factory テンプレートの形式のリソースやランディングゾーン内の他のリソースなど、アカウントの必要最小限のリソース設定をデプロイします。これらのリソースには、IAMロール、 AWS CloudTrail 証跡、Service Catalog プロビジョニング済み製品、IAMおよび Identity Center ユーザーが含まれる場合があります。AWS Control Tower は、新しいアカウントがメンバーアカウントになるための組織単位 (OU) のリソースも、コントロール設定で要求されるとおりにデプロイします。

AWS Control Tower は、ユーザーに代わってこれらのリソースのデプロイをオーケストレーションします。デプロイを完了するにはリソースごとに数分かかる場合があるため、アカウントを作成または登録する前に作業の合計時間を考慮してください。アカウントのリソースの管理の詳細については、「AWS Control Tower リソースの作成と変更に関するガイダンス」を参照してください。

既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項

をセキュリティアカウントまたはログ記録アカウント AWS アカウント として受け入れる前に、AWSControl Tower は Control Tower AWS の要件と競合するリソースがないかアカウントをチェックします。例えば、AWSControl Tower が必要とするのと同じ名前のログバケットがあるとします。また、AWSControl Tower は、アカウントがリソースをプロビジョニングできることを検証します。例えば、 AWS Security Token Service (AWS STS) が有効になっていること、アカウントが停止されていないこと、Control Tower AWS がアカウント内でリソースをプロビジョニングするアクセス許可を持っていることを確認します。

AWS Control Tower は、指定したログ記録アカウントとセキュリティアカウントの既存のリソースを削除しません。ただし、 AWS リージョン 拒否機能を有効にすると、リージョン拒否コントロールは拒否されたリージョンのリソースへのアクセスを禁止します。

共有アカウントについて

AWS Control Tower には、管理アカウント、監査アカウント、ログアーカイブアカウントの 3 つの特別な が関連付け AWS アカウント られています。これらのアカウントは通常、共有アカウントと呼ばれ、場合によってはコアアカウントと呼ばれることもあります。

  • ランディングゾーンのセットアップ時に、監査アカウントとログアーカイブアカウントの名前をカスタマイズすることを選択できます。アカウント名の変更については、「外部で AWS Control Tower リソース名を変更する」を参照してください。

  • ランディングゾーンの初期セットアッププロセス中に、既存の を AWS Control Tower セキュリティアカウントまたはログ記録アカウント AWS アカウント として指定することもできます。このオプションを使用すると、AWSControl Tower が新しい共有アカウントを作成する必要がなくなります。(これは 1 回限りの選択です)。

共有アカウントおよび関連リソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

管理アカウント

これにより、AWSControl Tower が AWS アカウント 起動します。デフォルトでは、このアカウントのルートユーザーと、このアカウントのIAMユーザーまたはIAM管理者ユーザーは、ランディングゾーン内のすべてのリソースにフルアクセスできます。

注記

ベストプラクティスとして、このアカウントのルートユーザーまたは管理者ユーザーとしてサインインするのではなく、AWSControl Tower コンソールで管理機能を実行するときは、IAM管理者権限を持つ IAM Identity Center ユーザーとしてサインインすることをお勧めします。

管理アカウントで使用できるロールとリソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

ログアーカイブアカウント

ログアーカイブ共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

このアカウントには、ランディングゾーン内の他のすべてのアカウントのすべての AWS CloudTrail および AWS Config ログファイルのコピーを保存するための中央 Amazon S3 バケットが含まれています。ベストプラクティスとして、ログアーカイブアカウントへのアクセスを制限することをお勧めします。コンプライアンスと調査を担当し、それに関連するセキュリティツールまたは監査ツールを使用するチームに制限します。このアカウントは、自動セキュリティ監査や、Lambda 関数 AWS Config ルールなどのカスタム をホストして修復アクションを実行するために使用できます。

Amazon S3 バケットポリシー

AWS Control Tower ランディングゾーンバージョン 3.3 以降では、アカウントは監査バケットへの書き込みアクセス許可の aws:SourceOrgID条件を満たす必要があります。この条件により、 は組織内のアカウントに代わって CloudTrail のみ S3 バケットにログを書き込むことができます。これにより、組織外の CloudTrail ログが AWS Control Tower S3 バケットに書き込まれなくなります。詳細については、「AWS Control Tower ランディングゾーンバージョン 3.3」を参照してください。

ログアーカイブアカウントで使用可能なロールとリソースの詳細については、「ログアーカイブアカウントのリソース」を参照してください。

注記

これらのログは変更できません。アカウントアクティビティに関連する監査とコンプライアンス調査の目的で、すべてのログが保存されます。

監査アカウント

この共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

監査アカウントは、セキュリティとコンプライアンスのチームに制限することをお勧めします。チームは、ランディングゾーン内のすべてのアカウントに対して監査人 (読み取り専用) と管理者 (フルアクセス) というアカウント横断的なロールを持ちます。このようなロールは、セキュリティとコンプライアンスのチームが次の目的で使用するためのものです。

  • カスタム AWS Config ルールの Lambda 関数をホストするなどの AWS メカニズムを使用して監査を実行します。

  • 修復アクションなど、自動化されたセキュリティ操作を実行します。

監査アカウントは、Amazon Simple Notification Service (Amazon SNS) サービスを通じて通知も受け取ります。次の 3 つのカテゴリの通知を受け取ることができます。

  • すべての設定イベント – このトピックでは、ランディングゾーン内のすべてのアカウントからのすべての CloudTrail および AWS Config 通知を集約します。

  • セキュリティ通知の集約 – このトピックでは、特定の CloudWatch イベント、 AWS Config ルール コンプライアンスステータス変更イベント、検出結果からのすべてのセキュリティ通知を集約 GuardDuty します。

  • ドリフト通知 – このトピックでは、ランディングゾーン内のすべてのアカウント、ユーザー、、OUsおよび SCPsで検出されたすべてのドリフト警告を集約します。ドリフトの詳細については、「AWS Control Tower でドリフトを検出して解決する」を参照してください。

メンバーアカウント内でトリガーされる監査通知は、ローカル Amazon SNSトピックにアラートを送信することもできます。この機能により、アカウント管理者は個々のメンバーアカウントに固有の監査通知をサブスクライブできます。そのため、管理者は個々のアカウントに影響する問題を解決しながら、一元管理された監査アカウントにすべてのアカウント通知を集約できます。詳細については、「Amazon Simple Notification Service デベロッパーガイド」を参照してください。

監査アカウントで使用できるロールとリソースの詳細については、「アカウントリソースを監査する」を参照してください。

プログラムによる監査の詳細については、AWS「Control Tower 監査アカウントのプログラムによるロールと信頼関係」を参照してください。

重要

監査アカウントに提供する E メールアドレスは、AWSControl Tower AWS でサポートされているすべての から通知 - サブスクリプション確認 E メールを受信します。 AWS リージョン 監査アカウントでコンプライアンス E メールを受信するには、AWSControl Tower で AWS リージョン サポートされている各 E メールから、各 E メール内のサブスクリプションの確認リンクを選択する必要があります。