翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# コントロールの仕組み
<a name="how-controls-work"></a>

コントロールは、 AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。各コントロールは 1 つのルールを適用します。これは、わかりやすい言語で示されます。有効になっている選択的コントロールまたは強く推奨されるコントロールを AWS Control Tower コンソールまたは AWS Control Tower API からいつでも変更できます。必須コントロールは常に適用され、変更することはできません。

予防コントロールにより、アクションの発生が防止されます。例えば、**[Disallow Changes to Bucket Policy for Amazon S3 Buckets]** (Amazon S3 バケットのバケットポリシーへの変更を不許可にする) という選択的コントロール (以前の名称は **[Disallow Policy Changes to Log Archive]** (ログアーカイブへのポリシーへの変更を不許可にする)) により、ログアーカイブ共有アカウント内で IAM ポリシーを変更できなくなります。禁止されたアクションを実行しようとすると、拒否され、CloudTrail に記録されます。リソースもログインします AWS Config。

検出コントロールにより、特定のイベントが発生したときにそのイベントが検出され、アクションが CloudTrail に記録されます。例えば、**[Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances]** (Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームに対して暗号化が有効になっているかどうかを検出する) という強く推奨されるコントロールにより、暗号化されていない Amazon EBS ボリュームがランディングゾーンの EC2 インスタンスにアタッチされているかどうかが検出されます。

プロアクティブコントロールは、リソースがアカウントにプロビジョニングされる前に、リソースが会社のポリシーと目標に準拠しているかどうかを確認します。リソースがポリシーと目標に準拠していない場合、リソースはプロビジョニングされません。プロアクティブコントロールは、 CloudFormation テンプレートを使用してアカウントにデプロイされるリソースをモニタリングします。

*に精通しているユーザーの場合 AWS: *AWS Control Tower では、予防コントロールはサービスコントロールポリシー (SCPs) とリソースコントロールポリシー (RCPs。検出コントロールは AWS Config ルールで実装されます。プロアクティブコントロールは CloudFormation フックで実装されます。

## 関連トピック
<a name="how-controls-related"></a>
+ [AWS Control Tower でドリフトを検出および解決する](drift.md)