翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ステップ 2c。共有アカウント、ログ、および暗号化の設定
<a name="configure-shared-accounts"></a>

セットアッププロセスのこのセクションでは、共有 AWS Control Tower アカウントにデフォルトで選択される名前がパネルに表示されます。これらのアカウントは、ランディングゾーンに不可欠な要素です。**これらの共有アカウントは移動または削除しないでください**。セットアップ時に、**監査**アカウントと**ログアーカイブ**アカウントの名前をカスタマイズできます。または、1 回限りのオプションとして、既存の AWS アカウントを共有アカウントとして指定することもできます。

ログアーカイブアカウントと監査アカウントに一意の E メールアドレスを指定する必要があります。また、以前に管理アカウントに指定した E メールアドレスを確認できます。**[Edit]** (編集) ボタンをクリックして、編集可能なデフォルト値を変更します。

**共有アカウントについて**
+ **管理アカウント** - AWS Control Tower 管理アカウントはルートレベルの一部です。管理アカウントでは、AWS Control Tower の請求が許可されています。また、ランディングゾーンの管理者許可もあります。AWS Control Tower では、請求用と管理者許可用に個別のアカウントを作成することはできません。

  管理アカウントに表示される E メールアドレスは、セットアップのこのフェーズでは編集できません。これは確認として表示されます。そのため、複数のアカウントを持っている場合には、正しい管理アカウントを編集していることを確認できます。
+  **2 つの共有アカウント** - この 2 つのアカウントの名前をカスタマイズできます。またま、自分のアカウントを持ち込んで、新規または既存を問わず、アカウントごとに一意の E メールアドレスを指定することができます。AWS Control Tower で新しい共有アカウントを作成することを選択した場合、E メールアドレスにアカウントが関連付けられていることはできません AWS 。

**共有アカウントを設定するには、リクエストされた情報を入力します。**

1. コンソールで、**ログアーカイブ**という当初のアカウント名を変更して、新しい名前を入力します。このアカウント名は、多くのお客様がデフォルトのままにしています。

1. このアカウントの一意の E メールアドレスを指定します。

1. **監査**という当初のアカウント名を変更して、新しい名前を入力します。このアカウント名は、多くのお客様が**セキュリティ**という名前にすることを選択しています。

1. このアカウントの一意の E メールアドレスを指定します。

# オプションでログの保持を設定する
<a name="configure-log-retention"></a>

このセットアップフェーズでは、AWS Control Tower にログを保存する Amazon S3 バケットの AWS CloudTrail ログ保持ポリシーを、日単位または年単位で、最大 15 年までカスタマイズできます。ログの保持をカスタマイズしない場合、デフォルト設定は、標準アカウントのログ記録で 1 年、アクセスログで 10 年です。この機能は、ランディングゾーンの更新またはリセット時にも使用できます。

# オプションで自己管理 AWS アカウント アクセス
<a name="select-idp"></a>

AWS Control Tower が (IAM) を使用して AWS アカウント AWS Identity and Access Management アクセスを設定するか、 AWS アカウント アクセスを自己管理するかを選択できます。IAM AWS アイデンティティセンターのユーザー、ロール、アクセス許可を自分で設定してカスタマイズするか、*外部 IdP などの別の方法で、IAM アイデンティティセンターを使用して直接アカウントフェデレーションまたは複数のアカウントへのフェデレーションを行うことができます*。この選択は後で変更できます。

デフォルトでは、AWS Control Tower AWS は、[「複数のアカウントを使用して AWS 環境を整理する](https://docs.aws.amazon.com//whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)」で定義されているベストプラクティスのガイダンスに従って、ランディングゾーンに IAM アイデンティティセンターを設定します。ほとんどのお客様はデフォルトを選択します。特定の業界や国、または IAM Identity Center AWS AWS リージョン が利用できない での規制コンプライアンスのために、代替アクセス方法が必要になる場合があります。

アカウントレベルでの ID プロバイダーの選択はサポートされていません。このオプションはランディングゾーン全体にのみ適用されます。

詳細については、「[IAM Identity Center のガイダンス](sso-guidance.md)」を参照してください。

# オプションで AWS CloudTrail 証跡を設定する
<a name="configure-org-trails"></a>

ベストプラクティスとして、ロギングを設定することをお勧めします。AWS Control Tower に組織レベルの CloudTrail 証跡の設定と管理を許可する場合は、**[Opt in]** (オプトイン) を選択します。独自の CloudTrail 証跡またはサードパーティ製のログ作成ツールでログを管理する場合は、**[Opt out]** (オプトアウト) を選択します。コンソールで要求された場合は、選択を確認します。ランディングゾーンを更新する際、選択を変更したり、組織レベルの証跡をオプトイン/オプトアウトできます。

組織レベルおよびアカウントレベルの証跡を含め、独自の CloudTrail 証跡を随時設定および管理できます。重複した CloudTrail 証跡を設定すると、CloudTrail イベントがログに記録される時点で重複するコストが発生する可能性があります。

# オプションで を設定する AWS KMS keys
<a name="configure-kms-keys"></a>

暗号化キーを使用してリソースを AWS KMS 暗号化および復号する場合は、チェックボックスをオンにします。既存のキーがある場合は、ドロップダウンメニューに表示される識別子からキーを選択できます。**[Create a key]** (キーの作成) を選択して、新しいキーを生成できます。KMS キーは、ランディングゾーンを更新するたびに追加または変更できます。

**[Set up landing zone]** (ランディングゾーンの設定) を選択した場合、AWS Control Tower は KMS キーを検証するための事前チェックを実行します。キーは、以下の条件を満たす必要があります。
+ 有効
+ 対称
+ マルチリージョンキーではない
+ ポリシーに正しい許可が追加されている
+ キーが管理アカウントにある

キーがこれらの要件を満たしていない場合は、エラーバナーが表示されることがあります。その場合は、別のキーを選択するか、キーを生成します。次のセクションで説明するように、必ずキーの許可ポリシーを編集してください。

## KMS キーポリシーを更新する
<a name="kms-key-policy-update"></a>

 KMS キーポリシーを更新する前に、KMS キーを作成する必要があります。詳細については、「AWS Key Management Service デベロッパーガイド」の「[キーポリシーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html)」を参照してください。

 AWS Control Tower で KMS キーを使用するには、 AWS Config と に必要な最小限のアクセス許可を追加して、デフォルトの KMS キーポリシーを更新する必要があります AWS CloudTrail。ベストプラクティスとして、どのポリシーでも必要最小限のアクセス許可を付与することをお勧めします。KMS キーポリシーを更新する場合、権限を 1 つの JSON ステートメントまたは行単位でグループとして追加できます。

 この手順では、 AWS Config と CloudTrail が暗号化 AWS KMS に使用できるポリシーステートメントを追加して、 AWS KMS コンソールでデフォルトの KMS キーポリシーを更新する方法について説明します。ポリシーステートメントには、次の情報を含める必要があります。
+  **`YOUR-MANAGEMENT-ACCOUNT-ID`** – AWS Control Tower を設定する管理アカウントの ID。
+  **`YOUR-HOME-REGION`** – AWS Control Tower をセットアップするときに選択するホームリージョン。
+  **`YOUR-KMS-KEY-ID`** – ポリシーで使用される KMS キー ID。

**KMS キーポリシーを更新するには**

1.  で AWS KMS コンソールを開く [https://console.aws.amazon.com//kms](https://console.aws.amazon.com//kms)

1.  ナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。

1.  テーブルで、編集するキーを選択します。

1.  **[キーポリシー]** タブで、キーポリシーを表示できることを確認します。キーポリシーが表示されない場合は、**[ポリシービューへの切り替え]** を選択します。

1.  **[編集]** を選択し、 AWS Config と CloudTrail の次のポリシーステートメントを追加してデフォルトの KMS キーポリシーを更新します。

    **AWS Config ポリシーステートメント** 

   ```
   {
       "Sid": "Allow Config to use KMS for encryption",
       "Effect": "Allow",
       "Principal": {
           "Service": "config.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey"
       ],
       "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
   }
   ```

    **CloudTrail ポリシーステートメント** 

   ```
   {
       "Sid": "Allow CloudTrail to use KMS for encryption",
       "Effect": "Allow",
       "Principal": {
           "Service": "cloudtrail.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey*",
           "kms:Decrypt"
       ],
       "Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
       "Condition": {
           "StringEquals": {
               "aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
           },
           "StringLike": {
               "kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
           }
       }
   }
   ```

1.  **[Save changes]** (変更の保存) をクリックします。

 ** KMS キーポリシーの例 ** 

 次のポリシー例は、 AWS Config と CloudTrail に最低限必要なアクセス許可を付与するポリシーステートメントを追加した後、KMS キーポリシーがどのようになるかを示しています。サンプルポリシーには、デフォルトの KMS キーポリシーは含まれていません。

```
{
    "Version": "2012-10-17",		 	 	 
    "Id": "CustomKMSPolicy",
    "Statement": [
        {
        ... YOUR-EXISTING-POLICIES ...
        },
        {
            "Sid": "Allow Config to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "config.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
        },
        {
            "Sid": "Allow CloudTrail to use KMS for encryption",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
              ],
            "Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:PARTITION:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:cloudtrail:arn": "arn:PARTITION:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
                }
            }
        }
    ]
}
```

 その他のポリシーの例については、以下のページを参照してください。
+  「[Granting encrypt permissions](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-encrypt)」(*AWS CloudTrail ユーザーガイド*)。
+  「[Required Permissions for the KMS Key When Using Service-Linked RolesS3 Bucket Delivery](https://docs.aws.amazon.com//config/latest/developerguide/s3-kms-key-policy.html#required-permissions-s3-kms-key-using-servicelinkedrole)」(AWS Config デベロッパーガイド)。

**攻撃者からの保護**  
 ポリシーに特定の条件を追加することで、混乱した代理攻撃と呼ばれる特定のタイプの攻撃を防ぐことができます。これは、クロスサービス偽装など、エンティティが、より特権のあるエンティティにアクションを実行させる場合に発生します。**ポリシー条件に関する一般的な情報については、「[ポリシーでの条件の指定](access-control-overview.md#specifying-conditions)」も参照してください。

 AWS Key Management Service (AWS KMS) では、マルチリージョン KMS キーと非対称キーを作成できますが、AWS Control Tower はマルチリージョンキーまたは非対称キーをサポートしていません。AWS Control Tower は、既存のキーの事前チェックを実行します。マルチリージョンキーまたは非対称キーを選択すると、エラーメッセージが表示されることがあります。その場合は、AWS Control Tower リソースで使用する別のキーを生成してください。

詳細については AWS KMS、「 [AWS KMS デベロッパーガイド」を参照してください。](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)

AWS Control Tower の顧客データは、デフォルトでは SSE-S3 を使用して保存時に暗号化されます。

# オプションでアカウントの自動登録を設定する
<a name="configure-auto-enroll"></a>

セットアップ中、またはそれ以降にこの機能を有効にすると、2 つの登録済み OU 間で移動されたアカウント、または初めて AWS Control Tower 環境に移動されたアカウントは、継承ドリフトの状態を表示しなくなります。アカウントは、新しい OU で有効になっているベースラインとコントロールを自動的に継承します。前の OU のコントロールとベースラインは削除されます。

設定後に自動登録をオプトインするには、ランディングゾーンの **[設定]** ページに移動し、ランディングゾーンの **[更新]** を選択するか、AWS Control Tower `UpdateLandingZone` API を呼び出します。

API または AWS Control Tower コンソールを使用して AWS Organizations 、OUs 間でアカウントを移動できます。登録されている OU の外部にアカウントを移動すると、AWS Control Tower はデプロイされたすべてのベースラインとコントロールを自動的に削除します。基本的に、AWS Control Tower からアカウントの登録を解除します。

**注記**  
ランディングゾーンの初期設定後に自動登録機能を有効にする場合、AWS Control Tower は自動登録機能が有効になる前に OU 間でアカウントを移動したことが原因で発生した継承ドリフトを遡及的に解決しません。自動ドリフト解決は、この設定を有効にした後に移動されたアカウントに対して有効になります。

# オプションで、カスタマイズされたメンバーアカウントを設定および作成する
<a name="configure-customized-accounts"></a>

**[Create account]** (アカウントの作成) ワークフローに従ってメンバーアカウントを作成する場合、オプションで、事前に定義した*ブループリント*を指定して、AWS Control Tower コンソールでのカスタマイズされたメンバーアカウントのプロビジョニングに使用できます。使用できるブループリントがない場合は、後でアカウントをカスタマイズできます。「[Account Factory Customization (AFC) を使用したアカウントのカスタマイズ](af-customization-page.md)」を参照してください。