既存の AWS Organization で Control Tower を有効化する際の追加の考慮事項
Control Tower アカウント
Control Tower は、AWS Organization の管理アカウントで有効化されている必要があります。単一の AWS Organization 内に複数のランディングゾーンを持つことはできません。
Control Tower を最初に有効にすると、組織内の既存のアカウントは自動的に登録されませんが、2 つの OU、共有アカウントとそれらの中のリソースが作成されます。組織には、これを許可するための十分なクォータが必要です。
Control Tower のセットアップ時にログアーカイブまたは監査アカウントに既存のアカウントを使用する必要がある場合は、そうすることができますが、config レコーダーを削除するおよびconfig デリバリーチャネルを削除する必要があります。一般的には、Control Tower にこれらのアカウントを作成させ、必要に応じて過去のログをコピーする方が簡単ですが、非 AWS サービスとの既存のログ統合がある場合など、既存のアカウントを再利用する必要がある場合もあります。
Identity Center
ユーザーの認証に Control Tower と AWS Identity Center を使用することを強くお勧めします。Control Tower に Identity Center を管理させないことを選択し、Identity Center がまだ有効になっていない場合、Control Tower はそれを有効にしないため、Organization の代替 ID ソリューションを実装する必要があります。
既存の Identity Center が設定されておらず、Identity Center 管理をオプトインする場合、Control Tower はサービスを有効化し、選択したアイデンティティソースに応じてグループとアクセス許可セットをプロビジョニングする場合としない場合があります。
Identity Center がすでに設定されている場合、Control Tower のホームリージョンと同じリージョンに存在する必要があります。Control Tower の管理をオプトインし、ローカルの IAM Identity Center ディレクトリを使用している場合、Control Tower はユーザー、グループ、および権限セットを作成しま す。他のディレクトリを使用している場合、Control Tower は変更を加えません。
既存の IAM ユーザーまたは IAM フェデレーションを使用するアイデンティティソリューションをお持ちの場合は、Identity Center を採用することをお勧めします。Control Tower と Identity Center を有効にしても、既存の IAM ユーザー、ロール、ポリシーには影響せず、既存の IAM SAML 設定にも影響しません。これにより、古い IAM ユーザー / IAM フェデレーションを削除する準備が整うまでの移行期間中、両方のシステムを並行して実行することができます。
CloudTrail
既存の Organization で CloudTrail の Control Tower 管理を有効にする場合は、AWS Control Tower の事前チェックを通過するために、CloudTrail の信頼されたアクセスを無効化する必要があります。
Control Tower による CloudTrail の管理をオプトアウトした場合、トレイルのデプロイ、ログの一元化、およびトレイルを保護するためのセキュリティ対策の実装はお客様の責任となります。Control Tower は組織トレイルを作成しますが、オプトアウトするとそのステータスはオフに設定されます。Control Tower に CloudTrail の管理を任せることをお勧めします。
既存の組織にアカウントレベルのトレイルがある状態で Control Tower の CloudTrail 管理を有効にすると、ログアーカイブアカウントのバケットにログを記録するよう設定された新しい Organizations 管理トレイルが作成されます。既存のトレイルには影響を与えないため、それらが記録中の場合、組織全体の CloudTrail コストが大幅に増加することが予想されます。これは、アカウントの各リージョンにおける管理イベントの最初のコピーのみが無料であるためです。アカウントレベルのトレイルの記録を停止することで、追加コストを防ぐことができます。
既存の組織トレイルを持つ Organization があり、Control Tower 管理にオプトインする場合は、信頼されたアクセスを無効化する必要があります。これを行うと、アカウント内のすべての組織トレイルはいずれにせよ機能しなくなるため、再びアクティブになったときに記録に対して課金されないよう、既存のトレイルのログ記録を停止する必要があります。その後、信頼されたアクセスを無効化し、Control Tower を有効化してください。これにより、組織の CloudTrail データが存在しない短い期間が発生するため、メンテナンス期間中に計画する必要があります。
設定
Control Tower による Config の管理をオプトアウトすることはできません。
既存の Organization で Control Tower を有効化する場合、Control Tower の事前起動チェックに合格するために、Config の信頼されたアクセスが無効化されていることを確認する必要があります。Control Tower は有効化プロセス中に信頼されたアクセスを有効にします。
ログアーカイブおよび監査アカウントに既存のアカウントを使用する予定がある場合は、まずそれらのアカウントからすべての Config リソースを削除する必要があります。
バックアップ
Control Tower のAWS Backup 統合を使用すると、各メンバーアカウントにボールト、共有アカウントに中央ボールト、および基本的なバックアップポリシーを備えた基本的なバック アップソリューションを設定できます。これは OU レベルで有効化でき、個々のリソースにタグを付けることで、関連するバックアップスケジュールの対象として指定できます。
すでにバックアップソリューションをお持ちの場合は、Backup 統合をオプトアウトできます。
Control Tower の統合では、論理的にエアギャップされた Vault はデプロイされず、クロスリージョンバックアップの設定もすぐには提供されません。
既存の OU とアカウントへのガバナンスの拡張
既存の組織で Control Tower を有効にしても、組織内の既存の OU やアカウントに対してガバナンスが自動的に拡張されるわけではありません。Control Tower ガバナンスの管理下に置くには、Control Tower を使用して既存のアカウントを登録する必要があります。
アカウントを登録するには、いくつかの前提条件があります。
- ランディングゾーンがドリフト状態にないこと
- アカウントが組織のメンバーであること
- AWSControlTowerExecution ロールが存在し、AdministratorAccess 権限を持っていること
- 登録するアカウントに AWSControlTowerExecution ロールが Control Tower リソースをデプロイできるよう、組織で StackSets の信頼されたアクセスが有効化されていること
- 既存の AWS Config リソースは削除する必要があります。それが選択肢にない場合は、既存の Config リソースの使用を有効にするためにカスタマーサポートと連携するプロセスがあります。なお、これは既存のログアーカイブアカウントおよび監査アカウントには適用されず、それらのアカウントでは Config リソースを削除する必要があります。
既存の AWS アカウントを AWS Control Tower に取り込む最も効率的な方法は、OU 全体を登録することです。OU を登録すると、そのメンバーアカウントが AWS Control Tower ランディングゾーンに登録されます。AWSControlTowerExecution ロールがアカウントに自動的に追加されます。OU には最大 1000 個のアカウントを含めることができます。
既存のコントロール
既存のアカウントを予防的コントロール(SCP、RCP)が設定された OU に登録する場合は、これらのコントロールがプロビジョニングや登録アクションを妨げないことを確認してください。あるいは、これらのコントロールを維持する必要がある場合は、アカウントを専用の登録 OU に登録してから、最終的な宛先に移動してください。
AWS Organizations には、既存の予防的コントロールを使用してアカウントや OU にガバナンスを拡張する際に超えないよう注意が必要なサービス制限があります。
- RCP と SCP の最大ポリシーサイズ: 5120 文字
- OU のネストは最大 5 レベル
- OU またはアカウントに直接アタッチできる RCP と SCP はそれぞれ最大 5 つ
検出コントロールについて、アカウントに既存の Config ルールが定義されている場合、アカウントを登録するために Config レコーダーを削除しても、これらのルールは残ります。アカウントを Control Tower に登録し、新しいレコーダーが作成されると、ルールは評価を再開します。
Control Tower の外部で定義された設定ルールのコンプライアンス状態は、Control Tower ダッシュボードには表示されません。
カスタム Config ルールを使用していて、AWS Organization 全体のコンプライアンスの包括的なビューを取得したい場合は、Cloud Intelligence Dashboards フレームワークの Config Resource Compliance Dashboard の実装を検討してください。