機能オプションの有効化 - AWS Control Tower
AWS CloudTrail データイベントAWS エンタープライズサポートプランAWS デフォルト VPC を削除する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機能オプションの有効化

AFT は、ベストプラクティスに基づいた機能オプションを提供します。AFT のデプロイ中に、機能フラグを使用して、これらの機能にオプトインできます。AFT 入力設定パラメータの詳細については、「AFT による新しいアカウントのプロビジョニング」を参照してください。

デフォルトでは、これらの機能は有効になっていません。環境でそれぞれの機能を明示的に有効にする必要があります。

AWS CloudTrail データイベント

有効にすると、 AWS CloudTrail データイベントオプションがこれらの機能を設定します。

  • の AWS Control Tower 管理アカウントに組織証跡を作成します。 CloudTrail

  • Simple Storage Service (Amazon S3) および Lambda データイベントのログ記録をオンにします。

  • AWS KMS 暗号化を使用して、すべての CloudTrail データイベントを暗号化し、AWS Control Tower Log Archive アカウントの aws-aft-logs-* S3 バケットにエクスポートします。

  • [Log file validation] (ログファイルの検証) 設定をオンにします。

このオプションを有効にするには、AFT デプロイ入力設定で次の機能フラグを [True] に設定します。

aft_feature_cloudtrail_data_events

前提条件

この機能オプションを有効にする前に、 の信頼されたアクセス AWS CloudTrail が組織で有効になっていることを確認してください。

の信頼されたアクセスのステータスを確認するには CloudTrail :

  1. AWS Organizations コンソールに移動します。

  2. サービス > CloudTrail を選択します。

  3. 次に、必要に応じて、右上の [Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

AWS CloudTrail コンソールを使用するように指示する警告メッセージが表示される場合がありますが、この場合は警告を無視します。AFT は、信頼されたアクセスを許可した後、この機能オプションの有効化の一環として証跡を作成します。信頼されたアクセスが有効になっていない場合は、AFT がデータイベントの証跡を作成しようとしたときにエラーメッセージが表示されます。

注記

この設定は組織レベルで機能します。この設定を有効にすると、AFT によって管理されているかどうかにかかわらず AWS Organizations、 内のすべてのアカウントに影響します。有効化時の AWS Control Tower ログアーカイブアカウントのすべてのバケットは、Simple Storage Service (Amazon S3) データイベントから除外されます。の詳細については、「 AWS CloudTrail ユーザーガイド」を参照してください CloudTrail。

AWS エンタープライズサポートプラン

このオプションを有効にすると、AFT パイプラインは AFT によってプロビジョニングされたアカウントの AWS エンタープライズサポートプランをオンにします。

AWS アカウントには、デフォルトで AWS ベーシックサポートプランが有効になっています。AFT は、AFT がプロビジョニングするアカウントのエンタープライズサポートレベルへの自動登録を提供します。プロビジョニングプロセスにより、 アカウントのサポートチケットが開き、 AWS エンタープライズサポートプランへの追加がリクエストされます。

エンタープライズサポートオプションを有効にするには、AFT デプロイ入力設定で次の機能フラグを [True] に設定します。

aft_feature_enterprise_support=false

サポートプランの詳細については、 AWS 「サポートプランの比較」を参照してください。 AWS

注記

この機能を使用するには、支払いアカウントを Enterprise Support プランに登録する必要があります。

AWS デフォルト VPC を削除する

このオプションを有効にすると、AFT は、管理アカウントとすべての のすべての AWS デフォルト VPCs を削除します。これは AWS リージョン、それらの に AWS Control Tower リソースをデプロイしていない場合でも同様です AWS リージョン。

AFT は、AFT がプロビジョニングする AWS Control Tower アカウント、または AFT を介して AWS Control Tower に登録した既存の AWS アカウントの AWS デフォルト VPCs を自動的に削除しません。

デフォルトでは AWS リージョン、各 に設定された VPC を使用して新しい AWS アカウントが作成されます。エンタープライズでは、VPCs、 AWS デフォルトの VPC を削除し、特に AFT 管理アカウントでは有効にしないようにする必要があります。

このオプションを有効にするには、AFT デプロイ入力設定で次の機能フラグを [True] に設定します。

aft_feature_delete_default_vpcs_enabled

デフォルト VPC の詳細については、「Default VPC and default subnets」(デフォルト VPC とデフォルトサブネット) を参照してください。