翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
共有アカウントで作成されたリソース
このセクションでは、ランディングゾーンを設定するときに、共有アカウントで AWS Control Tower が作成するリソースを示します。
メンバーアカウントリソースの詳細については、「Account Factory のリソースに関する考慮事項」を参照してください。
管理アカウントのリソース
ランディングゾーンを設定すると、管理アカウント内に次の AWS リソースが作成されます。
| AWS サービス | リソースタイプ | リソース名 |
|---|---|---|
| AWS Organizations | アカウント | audit log archive |
| AWS Organizations | OUs | Security Sandbox |
| AWS Organizations | サービスコントロールポリシー | aws-guardrails-* |
| AWS CloudFormation | スタック | AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER AWSControlTowerBP-BASELINE-CONFIG-MASTER (バージョン 2.6 以降) |
| AWS CloudFormation | StackSets |
AWSControlTowerBP-BASELINE-CLOUDTRAIL (3.0 以降にはデプロイされません) AWSControlTowerBP_BASELINE_SERVICE_LINKED_ROLE (Deployed in 3.2 and later) AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES AWSControlTowerBP-SECURITY-TOPICS AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED AWSControlTowerLoggingResources AWSControlTowerSecurityResources AWSControlTowerExecutionRole |
| AWS Service Catalog | 製品 | AWS Control Tower Account Factory |
| AWS Config | アグリゲータ | aws-controltower-ConfigAggregatorForOrganizations |
| AWS CloudTrail | 追跡 | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch ログ | aws-controltower/CloudTrailLogs |
| AWS Identity and Access Management | ロール | AWSControlTowerAdmin AWSControlTowerStackSetRole AWSControlTowerCloudTrailRolePolicy |
| AWS Identity and Access Management | ポリシー | AWSControlTowerServiceRolePolicy AWSControlTowerAdminPolicy AWSControlTowerCloudTrailRolePolicy AWSControlTowerStackSetRolePolicy |
| AWS IAM Identity Center | ディレクトリグループ | AWSAccountFactory AWSAuditAccountAdmins AWSControlTowerAdmins AWSLogArchiveAdmins AWSLogArchiveViewers AWSSecurityAuditors AWSSecurityAuditPowerUsers AWSServiceCatalogAdmins |
| AWS IAM Identity Center | 許可セット | AWSAdministratorAccess AWSPowerUserAccess AWSServiceCatalogAdminFullAccess AWSServiceCatalogEndUserAccess AWSReadOnlyAccess AWSOrganizationsFullAccess |
注記
AWS CloudFormation StackSet BP_BASELINE_CLOUDTRAIL は、ランディングゾーンバージョン 3.0 以降ではデプロイされません。ただし、ランディングゾーンを更新するまでは、ランディングゾーンの以前のバージョンに引き続き存在します。
ログアーカイブアカウントのリソース
ランディングゾーンを設定すると、ログアーカイブアカウント内に次の AWS リソースが作成されます。
| AWS サービス | リソースタイプ | リソース名 |
|---|---|---|
| AWS CloudFormation | スタック | StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED- StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerLoggingResources- |
| AWS Config | AWS Config ルール | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBIT |
| AWS CloudTrail | 追跡 | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch イベントルール | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch ログ | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | ロール | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution |
| AWS Identity and Access Management | ポリシー | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | トピック | aws-controltower-SecurityNotifications |
| AWS Lambda | アプリケーション | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-* |
| AWS Lambda | 関数 | aws-controltower-NotificationForwarder |
| Amazon Simple Storage Service | バケット | aws-controltower-logs-* aws-controltower-s3-access-logs-* |
アカウントリソースを監査する
ランディングゾーンを設定すると、監査アカウント内に次の AWS リソースが作成されます。
| AWS サービス | リソースタイプ | リソース名 |
|---|---|---|
| AWS CloudFormation | スタック | StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED- StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED- StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-SECURITY-TOPICS- StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerSecurityResources-* |
| AWS Config | アグリゲータ | aws-controltower-GuardrailsComplianceAggregator |
| AWS Config | AWS Config ルール | AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED |
| AWS CloudTrail | 追跡 | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch イベントルール | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch ログ | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | ロール | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole aws-controltower-AuditAdministratorRole aws-controltower-AuditReadOnlyRole AWSControlTowerExecution |
| AWS Identity and Access Management | ポリシー | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | トピック | aws-controltower-AggregateSecurityNotifications aws-controltower-AllConfigNotifications aws-controltower-SecurityNotifications |
| AWS Lambda | 関数 | aws-controltower-NotificationForwarder |
