OU ベースラインとランディングゾーンバージョンの互換性 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

OU ベースラインとランディングゾーンバージョンの互換性

AWS Control Tower ベースラインを使用すると、ビジネスで必要な場合、ランディングゾーンレベルではなく OU レベルでガバナンス標準を設定できます。と呼ばれるベースラインAWSControlTowerBaselineは、OUs を AWS Control Tower に登録するのに役立ちます。

注記

ベースラインは、ランディングゾーン内に安定したガバナンス環境を確立するために連携するコントロールとリソースのグループです。

OU でベースラインを有効にするときは、AWS Control Tower で EnableBaseline API を呼び出すことによって、現在の AWS Control Tower ランディングゾーンバージョンと互換性のあるベースラインバージョンを指定する必要があります。ベースラインを指定すると、OU 内のすべてのメンバーアカウントが OU に指定されたベースラインに従います。つまり、新しいアカウントは更新されたベースラインでプロビジョニングされ、既存のメンバーアカウントは新しいベースラインに従って管理されます。

既存の OUs とアカウントのベースラインを選択しない場合、ランディングゾーンバージョンによってガバナンス体制全体がデフォルトで決定されます。ただし、ランディングゾーンに登録された各 OU には、現在のランディングゾーンバージョンと互換性のある最新のベースラインであるベースラインバージョンが割り当てられます。したがって、特にベースラインを割り当てない場合でも、各 OU と登録済みメンバーアカウントにはベースラインが関連付けられています。

OU レベルのベースライン についてはAWSControlTowerBaseline、次の表に、ベースラインと AWS Control Tower ランディングゾーンバージョンの互換性を示します。

ベースラインバージョン ランディングゾーンのバージョン 含まれているブループリント 含まれるコントロール 前のベースラインからの変更

1.0

2.0~2.7

BP_BASELINE_CLOUDTRAIL、BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_ROLES、IAM リソース

すべての必須コントロール

なし

2.0

2.8~2.9

BP_BASELINE_CLOUDTRAIL、BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_ROLES、Config SLR、IAM リソース

すべての必須コントロール

SLR を使用するための AWS Config サービスにリンクされたロール (SLR) と新しい Config ブループリントを追加しました

3.0

3.0~3.1

BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_ROLES、Config SLR、IAM リソース

すべての必須コントロール

新しい AWS Config ブループリント。グローバルリソースをホームリージョンでのみ記録するように を変更します。削除された CloudTrail ブループリント

4.0

3.2~3.3

BP_BASELINE_CLOUDWATCH、BP_BASELINE_CONFIG、BP_BASELINE_ROLES、BP_BASELINE_SERVICE_TAKED_ROLE、BP_BASELINE_SERVICE_ROLES、Config SLR、IAM リソース

すべての必須コントロール

新しい SLR ブループリント

ランディングゾーンのセットアップ時にアカウントで作成される特定のリソースの詳細については、「共有アカウントで作成されるリソース」を参照してください。

ランディングゾーンを新しいAWSControlTowerBaselineベースラインバージョンをサポートするバージョンに更新し、新しいランディングゾーンバージョンが既存のベースラインバージョンと互換性がある場合、OU の状態は利用可能な の更新に変わります。

  • ランディングゾーンが 2.x から 3.x に更新された場合を除き、OU ベースラインをすぐに更新することなく、Account Factory やその他の機能を引き続き使用できます。

  • この OU に登録された新しいアカウントは、ベースラインバージョンが更新されるまで (コンソールのガバナンス機能の拡張または UpdateEnabledBaseline API を使用)、既存のベースラインバージョンに基づいてリソースを受け取ります。

  • ベースラインバージョンを更新すると、その OU 内のすべてのアカウントは、新しいベースラインバージョンに基づいてリソースを受け取ります。

注記

AWS Control Tower ランディングゾーンを任意のバージョン 2.X から任意のバージョン 3.X に更新する場合、アカウントレベルから組織レベルの AWS CloudTrail 証跡への変更により、OUs のベースラインバージョンも更新する必要があります。コンソールでは、OU のステータスが「Update required」と表示されます。

ベースラインに関する考慮事項

  • OU にベースライン更新が必要な場合は、新しいアカウントをプロビジョニングしたり、既存のアカウントをその OU に登録したりすることはできません。

  • ランディングゾーンの更新後、OU ベースラインも更新する場合は、OU を再登録するか、プログラムで OU ベースラインバージョンを更新する必要があります。

  • 使用しているランディングゾーンバージョンで互換性が最も高いベースラインに更新して、ランディングゾーンとベースラインを組み合わせたすべてのメリットが得られるようにすることをお勧めします。例えば、ランディングゾーンバージョン 3.3 に更新する場合、ベースライン 3.0 を引き続き使用できますが、ベースライン 4.0 にも更新しない限り、ランディングゾーンバージョン 3.3 のすべてのメリットが得られるわけではありません。

  • ベースライン更新をロールバックすることはできません。

  • ベースライン有効化は、一度に 1 つの OU をターゲットにします。したがって、親 OUs が更新されても、ネストされた OU は自動的に更新されません。ネストされた OU を更新する前に、親 OUs を更新することをお勧めします。

  • UpdateEnabledBaseline API を呼び出すか、コンソールから OU を再登録すると、OU はベースライン更新前に有効だったすべてのコントロールを保持します。

  • 複数のベースラインバージョンにランディングゾーンバージョンとの互換性がある場合は、アンマネージド OU でベースラインを有効にする場合は、最新のベースラインバージョンを使用する必要があります。