を使用したリソース設定の管理AWS Config - AWS Control Tower
Control Tower ランディングゾーン 4.0 での AWS Config の統合

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用したリソース設定の管理AWS Config

AWS Configは、AWSアカウントに関連付けられたリソースの詳細ビューを提供します。これには、リソースの設定方法、相互の関係、設定とその関係が時間の経過とともにどのように変化したかが含まれます。詳細については、「AWS Configデベロッパーガイド」を参照してください。

AWS Control Tower によってプロビジョニングされたAWS Configリソースには、aws-control-tower および値 managed-by-control-tower が自動的にタグ付けされます。

が AWS Control Tower でリソースをAWS Configモニタリングおよび記録する方法、およびリソースに対して請求する方法の詳細については、「」を参照してくださいでリソースの変更をモニタリングするAWS Config

AWS Control Tower はAWS Config ルールを使用して検出コントロールを実装します。詳細については、「About controls in AWS Control Tower」を参照してください。

Control Tower ランディングゾーン 4.0 での AWS Config の統合

サービスにリンクされた Config Aggregator (SLCA)

AWS Control Tower は、ランディングゾーン 4.0 以降の一部としてサービスにリンクされた Config Aggregator (SLCA) を実装するようになりました。この変更は、組織全体での AWS Config データの集約と管理方法の大幅な改善を表します。

主な変更点

新しいサービスにリンクされた Config Aggregator のデプロイ

  • サービスにリンクされた Config Aggregator は、指定された AWS Config 統合アカウントにデプロイされます。

  • 既存の顧客の場合、これは監査アカウントになります

  • 新規のお客様の場合、これはマニフェストの config.accountIdフィールドで指定されたアカウントになります。

委任された管理者

  • AWS Config アグリゲータアカウントが AWS Config の委任管理者になる

  • AWS Control Tower は委任管理者設定を自動的に設定します

  • これにより、組織全体で AWS Config を一元管理できます。

レガシーアグリゲータからの移行

ランディングゾーン 4.0 へのアップグレード中:

  • 管理アカウントの組織アグリゲータが削除されます。

  • 監査アカウントのアカウントアグリゲータは削除されます。

  • これらは、AWS Config 統合アグリゲータアカウントの新しいサービスにリンクされた Config アグリゲータに置き換えられます。

拡張データ集約

サービスにリンクされた Config Aggregator は、Config データ集約の機能を改善しました。

  • 組織内の任意の AWS Config レコーダーからデータを集約できます

  • Control Tower によって管理されていないアカウントのデータが含まれます

  • 組織全体の設定項目の包括的なビューを提供します。

  • 拡張データ境界コントロールをサポート

重要な考慮事項

委任管理者設定

  • AWS Control Tower は、AWS Config 統合のマニフェストで指定されたアカウントを使用します。

  • このアカウントは、委任管理者として自動的に設定されます。

  • この設定では、顧客からの追加のアクションは必要ありません。

  • 既存のお客様の場合、以前のセキュリティロール統合アカウント (監査アカウント) は、ランディングゾーン 4.0 のアップグレード中に AWS Config 中央アグリゲータアカウントとして設定されます。

データ集約範囲

  • サービスにリンクされた Config Aggregator は、以下から設定データを集約できます。

    • Control Tower マネージドアカウント

    • Control Tower 以外のマネージドアカウント

    • 組織内でアクティブな Config レコーダーを持つすべてのアカウント

アクセスコントロール

  • 集約データへのアクセスは IAM ポリシーを通じて管理されます

  • AWS Config 中央アグリゲータアカウントは、すべての集約データに一元的にアクセスできます

  • メンバーアカウントは、個々の AWS Config レコーダーを維持します。

ベストプラクティス

Config セントラルアグリゲータアカウントの選択

  • セキュリティとコンプライアンスのモニタリング専用のアカウントを選択する

  • 適切なアクセスコントロールが設定されていることを確認する

  • 既存の監査アカウントまたはセキュリティアカウントの使用を検討する

データ管理

  • 集約された設定データを定期的に確認する

  • 適切な保持ポリシーを実装する

  • アカウント間で AWS Config レコーダーのステータスをモニタリングする

移行の影響

ランディングゾーン 4.0 にアップグレードする場合:

移行前

  • 既存の AWS Config ルールとアグリゲータを文書化する

  • 現在の AWS Config データアクセスパターンを確認する

  • 必要な IAM ポリシーの更新を計画する

移行中

  • レガシー AWS Config アグリゲータは自動的に削除されます

  • サービスにリンクされた Config Aggregator がデプロイされます

  • 委任された管理者が設定されます

移行後

  • サービスにリンクされた Config Aggregator が正しく機能することを確認する

  • メンバーアカウントからのデータ集約を確認する

  • 必要に応じてモニタリングツールとレポートツールを更新する