翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Control Tower 管理者向けのベストプラクティス
<a name="best-practices"></a>

このトピックは、主に管理アカウントの管理者を対象としています。

管理アカウントの管理者には、AWS Control Tower のコントロールによってメンバーアカウント管理者が実行できなくなるタスクについて説明する責任があります。このトピックでは、この知識を伝えるためのベストプラクティスと手順について説明し、AWS Control Tower 環境を効率的に設定して維持するためのその他のヒントを示します。

## アクセスについてユーザーに説明する
<a name="explaining-users"></a>

AWS Control Tower コンソールは、管理アカウントの管理者権限を持つユーザーだけが使用できます。それらのユーザーだけが、ランディングゾーン内で管理作業を実行できます。これは、ベストプラクティスに従って、ほとんどのユーザーとメンバーアカウント管理者に AWS Control Tower コンソールが表示されることがないことを意味します。管理アカウントの管理者グループのメンバーは、必要に応じて、ユーザーとメンバーアカウントの管理者に次の情報を説明する必要があります。
+ ユーザーと管理者がランディングゾーン内でアクセスできる AWS リソースについて説明します。
+ 他の管理者がそれに応じて AWS ワークロードを計画して実行できるように、各組織単位 (OU) に適用される予防コントロールを一覧表示します。

## リソースアクセスについて説明する
<a name="explaining-resource-access"></a>

一部の管理者および他のユーザーは、ランディングゾーン内でアクセスできる AWS リソースの説明が必要になる場合があります。このアクセスには、プログラムによるアクセスとコンソールベースのアクセスが含まれます。一般的に、 AWS リソースの読み取りアクセスと書き込みアクセスが許可されます。内で作業を実行するには AWS、ユーザーがジョブを実行するために必要な特定のサービスにある程度のアクセスが必要です。

 AWS 開発者などの一部のユーザーは、エンジニアリングソリューションを作成できるように、アクセスできるリソースについて知っておく必要がある場合があります。 AWS サービスで実行されるアプリケーションのエンドユーザーなどの他のユーザーは、ランディングゾーン内の AWS リソースについて知る必要はありません。

AWS には、ユーザーの AWS リソースアクセスの範囲を特定するためのツールが用意されています。ユーザーのアクセスの範囲を特定したら、組織の情報管理ポリシーに従って、その情報をユーザーと共有できます。これらのツールの詳細については、以下のトピックを参照してください。
+ **AWS アクセスアドバイザー** – AWS Identity and Access Management (IAM) アクセスアドバイザーツールを使用すると、ユーザー、ロール、グループなどの IAM エンティティが AWS サービスを呼び出したときの最後のタイムスタンプを分析することで、デベロッパーが持つアクセス許可を判断できます。サービスアクセスを監査して不要な許可を削除したり、必要に応じてプロセスを自動化したりできます。詳細については、 [AWS セキュリティブログ記事](https://aws.amazon.com/blogs/security/automate-analyzing-permissions-using-iam-access-advisor)を参照してください。
+ **IAM Policy Simulator** - IAM Policy Simulator では、IAM およびリソースベースのポリシーをテストし、トラブルシューティングできます。詳細については、「[IAM Policy Simulator を使用した IAM ポリシーのテスト](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_testing-policies.html)」を参照してください。
+ logs**AWS CloudTrail ** – AWS CloudTrail ログを確認して、ユーザー、ロール、または によって実行されたアクションを確認できます AWS のサービス。CloudTrail の詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-user-guide.html)」を参照してください。

  AWS Control Tower ランディングゾーン管理者が実行したアクションは、ランディングゾーン管理アカウントで確認できます。メンバーアカウント管理者およびユーザーが実行したアクションは、共有ログアーカイブアカウントで確認できます。

  AWS Control Tower イベントのサマリーテーブルは、[[Activity]](https://console.aws.amazon.com/) (アクティビティ) ページで確認できます。

## 予防コントロールについて説明する
<a name="explaining-preventive-controls"></a>

予防コントロールにより、組織のアカウントが企業ポリシーへの準拠を維持できるようになります。予防コントロールのステータスは、**適用**または**無効**です。予防コントロールは、サービスコントロールポリシー (SCP)、リソースコントロールポリシー (RCP)、または宣言型ポリシーを使用して、ポリシー違反を防止します。これに対して、検出コントロールは、定義された AWS Config ルールを使用して、存在するさまざまなイベントまたは状態を通知します。

 AWS 開発者などの一部のユーザーは、エンジニアリングソリューションを作成できるように、使用するアカウントや OUs に適用される予防コントロールについて知っておく必要がある場合があります。次の手順では、組織の情報管理ポリシーに従って、適切なユーザーにこの情報を提供する方法に関するガイダンスを示します。

**注記**  
この手順では、ランディングゾーン内に少なくとも 1 つの子 OU と少なくとも 1 人の AWS IAM アイデンティティセンター ユーザーがすでに作成されていることを前提としています。

**例: 知っておく必要があるユーザーに予防コントロールを示すには**

1. [https://console.aws.amazon.com/controltower/](https://console.aws.amazon.com/controltower/) で AWS Control Tower コンソールにサインインします。

1. 左側のナビゲーションから、**[Organization]** (組織) を選択します。

1. 表から、該当するコントロールに関してユーザーが情報を必要としているいずれかの OU の**名前**を選択します。

1. OU の名前と、この OU に適用されるコントロールを書き留めます。

1. ユーザーが情報を必要としている OU ごとに、前の 2 つのステップを繰り返します。

コントロールとその機能の詳細については、「[About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/controls.html)」を参照してください。