ベースラインのタイプ - AWS Control Tower
OU の登録と更新のために OUs レベルで適用されるベースラインタイプランディングゾーンまたは共有アカウントに適用される可能性のあるベースラインタイプベースラインとバージョニングのデフォルト

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ベースラインのタイプ

AWS Control Tower のベースラインは、ターゲットに適用できるリソースと特定の設定のグループです。最も一般的なベースラインターゲットは、組織単位 (OU) です。例えば、ターゲットとして選択した OU でベースラインを有効にして、その OU を AWS Control Tower に登録できます。

ランディングゾーンの設定時には、共有アカウントまたはランディングゾーン全体をベースラインターゲットとすることができます。ランディングゾーンの設定と構成に基づいて、特定のベースラインを有効にして更新できます。AWS Control Tower は、ベースラインで指定された方法でリソースを作成してターゲットにデプロイします。

ターゲットのベースラインを有効にすると、ベースラインは AWS CloudFormation リソースと呼ばれる EnabledBaselineリソースとして表されます。

AWS Control Tower には、次の 2 つの一般的なタイプのベースラインがあります。

  • AWS Control Tower に登録されている OU に適用できるベースラインタイプ、またはベースラインを適用して登録する予定の OU に適用できるベースラインタイプ。

  • ランディングゾーンまたは共有アカウントに適用できるベースラインタイプは、初期設定時またはランディングゾーンの更新時に適用されます。

OU の登録と更新のために OUs レベルで適用されるベースラインタイプ

  • 名前: AWSControlTowerBaseline

    説明: AWS Control Tower ガバナンスに必要な、ターゲット OU 内のメンバーアカウントのリソースと必須コントロールを設定します。

    考慮事項: このベースラインは、ランディングゾーンのリージョン拒否コントロールの設定を保持します。つまり、リージョンがランディングゾーンレベルで許可されていない場合、EnableBaseline API を呼び出して OU を登録する際に、そのリージョンはその OU に対して許可されません。

    注記

    OU レベルのリージョン拒否コントロールは、ランディングゾーンのリージョン拒否コントロールが許可しないリージョンを許可することはできません。

    詳細については、 AWS Organizations ドキュメントのSCPs」を参照してください。

    推奨事項: ターゲット OU がワークロードを実行している可能性のあるリージョンを確認し、その結果をランディングゾーンのリージョン拒否コントロールに対してチェックしてから、OU の EnableBaseline API を呼び出すことをお勧めします。そうしないと、特定のリージョンのリソースにアクセスできなくなる可能性があります。

  • 名前: BackupBaseline

    説明: このベースラインは、ターゲット OU 内のメンバーアカウントのリソースとコントロールを設定します。これらは、 との統合 AWS Backup により、 間のデータバックアップを自動化し AWS のサービス、バックアップポリシー管理を一元化するために必要です。

    考慮事項: ターゲット OU BackupBaselineで を有効にする前に、ターゲット OU で AWSControlTowerBaselineが有効になっていることを確認してください。つまり、ターゲット OU を AWS Control Tower に登録する必要があります。

    • AWS Control Tower ランディングゾーンの作成プロセス AWS Backup 中にアクティブ化するか、ランディングゾーンの更新プロセス中にアクティブ化するかを選択できます。

    • BackupBaseline は、ランディングゾーンバージョン 3.1 以降と互換性があります。

    • BackupBaseline は管理アカウントには適用されません。

注記

ランディングゾーンのベースラインの動作は、OU レベルのベースラインの動作と異なります。

ランディングゾーンまたは共有アカウントに適用される可能性のあるベースラインタイプ

AWS Control Tower は、ランディングゾーンの設定と更新のプロセスの一環として、ランディングゾーンレベルで自動的に適用されるベースラインを有効にします。ランディングゾーンの設定を変更すると、ランディングゾーンのベースラインが変更される場合があります。例えば、IAM アイデンティティセンターをオプトインした場合、AWS Control Tower はランディングゾーンで最新バージョンの IdentityCenterBaseline ベースラインを有効にすることができます。

ListEnabledBaselines API コールを使用すると、ランディングゾーンで有効になっているベースラインを表示できます。

注記

EnableBaseline API で直接適用AWSControlTowerBaselineできるのは のみです。他のベースラインは自動的に管理されます (AuditBaselineLogArchiveBaseline)。を適用すると、 のステータスIdentityCenterBaselineが情報として提供されますAWSControlTowerBaseline

  • 名前: AuditBaseline

    説明: 組織内のアカウントのセキュリティとコンプライアンスをモニタリングするためのリソースを設定します。このベースラインは変更できません。AWS Control Tower によってデプロイされます。

  • 名前: LogArchiveBaseline

    説明: 組織内のアカウントからの API アクティビティとリソース設定のログ用に中央リポジトリを設定します。このベースラインは変更できません。AWS Control Tower によってデプロイされます。

  • 名前: IdentityCenterBaseline

    説明: IAM アイデンティティセンターの共有リソースを設定します。これにより、AWSControlTowerBaseline がアカウントのアイデンティティセンターアクセスを設定する準備が整います。

    考慮事項: このベースラインが機能するのは、ランディングゾーンの初期設定時に ID プロバイダーとして IAM アイデンティティセンターを選択した場合、または後でランディングゾーン設定を変更して、IAM アイデンティティセンターをランディングゾーンに対して有効にした場合のみです。別の ID プロバイダーを使用している場合、このベースラインを有効にするためのアクセス権限はありません。

  • 名前: BackupCentralVaultBaseline

    説明: 組織内の中央 AWS Backup ボールトを設定します。

  • 名前: BackupAdminBaseline

    説明: 委任管理者と AWS Backup Audit Manager を設定します。

ベースラインとバージョニングのデフォルト

AWS Control Tower のランディングゾーンが既に設定されている場合に、ランディングゾーンのベースラインの有効化を選択すると、AWS Control Tower はランディングゾーンのバージョンと互換性のある最新バージョンのベースラインを有効にします。まだ AWS Control Tower に登録されていない OU に対してベースラインの有効化を選択すると、AWS Control Tower は互換性のある最新バージョンのベースラインをその OU に自動的に提供します。