AWS Organizations ガイダンス

AWS Control Tower 管理アカウントとメンバーアカウントのセキュリティを保護するためのベストプラクティスに関するガイダンスは、 AWS Organizations ドキュメントに記載されています。

AWS Control Tower に登録されている OU にアタッチされた既存のサービスコントロールポリシー (SCPs) を更新しないでください。これを行うと、コントロールが不明な状態になり、AWS Control Tower でランディングゾーンのリセットや OU の再登録を行う必要が生じます。代わりに、AWS Control Tower が作成した SCPs を編集するのではなく、 を使用して新しい SCPs AWS Organizations を作成し、それらを OUs にアタッチできます。

登録済み OU の外部から個々の登録済みアカウントを AWS Control Tower に移動すると、解決が必要なドリフトが発生します。「ガバナンスドリフトのタイプ」を参照してください。

AWS Organizations を使用して AWS Control Tower に登録されている組織内でアカウントを作成、招待、または移動する場合、それらのアカウントは AWS Control Tower によって登録されず、それらの変更は記録されません。SSO を使用してこれらのアカウントにアクセスする必要がある場合は、「メンバーアカウントアクセス」を参照してください。

AWS Organizations を使用して OU を AWS Control Tower によって作成された組織に移動する場合、外部 OU は AWS Control Tower によって登録されません。

AWS Control Tower は、アクセス許可のフィルタリングを とは異なる方法で処理 AWS Organizations します。アカウントが AWS Control Tower Account Factory でプロビジョニングされている場合、エンドユーザーは AWS Control Tower コンソールですべての OUs の名前と親を確認できます。これらの名前と親 AWS Organizations を から直接取得するアクセス許可がない場合でも同じです。

AWS Control Tower は、OU の親は表示できるが OU の名前は表示できない許可など、組織に対する混合アクセス許可をサポートしていません。このため、AWS Control Tower の管理者は完全なアクセス許可を持つことが期待されます。

SCP AWS Organizations FullAWSAccessは適用する必要があり、他の SCPs とマージしないでください。この SCP への変更はドリフトとして報告されません。ただし、特定のリソースへのアクセスが拒否された場合、一部の変更が AWS Control Tower の機能に予期しない影響を与える可能性があります。例えば、SCP がデタッチまたは変更された場合、アカウントは AWS Config レコーダーへのアクセスを失うか、CloudTrail ログにギャップが生まれます。

API を使用して AWS Organizations DisableAWSServiceAccess、ランディングゾーンを設定した組織への AWS Control Tower サービスアクセスをオフにしないでください。オフにした場合、 AWS Organizationsからのメッセージサポートがないと、特定の AWS Control Tower ドリフト検出機能が正しく動作しなくなる可能性があります。これらのドリフト検出機能により、AWS Control Tower は組織内の組織単位、アカウント、統制のコンプライアンスステータスを正確に報告できます。詳細については、 API_DisableAWSServiceAccessAWS Organizations API リファレンスの「」を参照してください。