ランディングゾーン更新のベストプラクティス

ベストプラクティス： セキュリティと監査上の理由から、すべてのアカウントでボード全体のログ記録を有効にし、ログ情報を一元管理された場所に送信することを強くお勧めします。AWS Control Tower では、この一元化された場所はログアーカイブアカウントであり、Amazon S3 ログ記録バケットを提供します。

ベストプラクティス： AWS Control Tower で組織レベルの CloudTrail 証跡をオプトアウトする場合は、独自の証跡を設定および管理します。

ベストプラクティス： AWS Control Tower 環境を操作するときは、テスト環境を設定します。

ホームリージョンでのみ AWS Config リソースを記録すると、グローバルリソースを管理する際にコスト削減につながります。

独自のKMSキーで AWS CloudTrail 証跡を暗号化する

ログ保持期間をカスタマイズする

拡張必須コントロール

利用可能なコントロールの数の増加

と統合 AWS Security Hub

Python ランタイムの更新

ランディングゾーン 3.0 以降では、AWSControl Tower は が AWS 管理するアカウントレベルの AWS CloudTrail 証跡をサポートしていません。

AWS Control Tower が管理する組織レベルの証跡を選択するか、オプトアウトして独自の証 CloudTrail 跡を管理するかを選択できます。

特に OU 内の一部のアカウントが AWS Control Tower に登録されておらず、保持する独自のアカウントレベルの証跡がある場合、二重コストが発生する可能性があります。

3.0 以降にアップグレードすると、AWSControl Tower は最初に作成したアカウントレベルの証跡を 24 時間後に削除します。

これらの証跡からのデータは失われません。既存のログは、証跡が削除されても保持されます。

AWS Control Tower は、アカウントレベルの証跡を組織レベルの証跡と区別するために、証跡の同じ Amazon S3 バケットに新しいパスを作成します。

デプロイした追加の CloudTrail 証跡、AWSControl Tower によってデプロイされていない証跡には触れません。

登録されていないアカウントが登録済み OU の一部である場合、AWSControl Tower に登録されていないアカウントを含むすべてのアカウントが組織レベルの証跡に含まれます。

リンクされたアカウントの Amazon CloudWatch アラームはトリガーされません。

組織レベルの証跡をオプトアウトしても、AWSControl Tower は証跡を作成しますが、そのステータスは Off に設定します。

ベストプラクティスとして、AWSControl Tower で組織レベルの証跡をオプトアウトする場合は、独自の CloudTrail 証跡を設定および管理する必要があります。

組織証跡は、OU 内のすべてのアカウントで機能します。

ログに記録された項目は標準化されており、アカウントユーザーが変更することはできません。