View a markdown version of this page

主な変更点 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

主な変更点

注記

  • 「登録済み」と「登録済み」の定義は、この新しいバージョンの AWS Control Tower に移行しました。アカウント/OU で AWS Control Tower リソースが有効になっている場合 (コントロールやベースラインなど)、管理対象リソースと見なされます。定義は、AWSControlTowerBaselineベースラインの存在によって駆動されなくなります。

  • サービスにリンクされたロールはすべてのランディングゾーンバージョンにわたって保持され、OUs」になったときに削除されなくなります。

  • サービスにリンクされたロールは、ランディングゾーンの廃止後にのみ手動で削除できます。

バージョン 3.3 以前からバージョン 4.0 へのアップグレード

バージョンアップグレードの一環としてサービス統合 (AWS Config、SecurityRoles) を無効にしないでください。ランディングゾーンバージョン 3.3 以前 AWS Config では、SecurityRoles は常に暗黙的に有効でした。バージョン 4.0 では、これらの統合が初めて設定可能なオプションとして表示されます。バージョン 4.0 に正常にアップグレードしたら、必要に応じてサービス統合を無効にすることができます。

  • ランディングゾーン 4.0 の前提条件: API 経由でバージョン 4.0 にアップグレードする場合、AWSControlTowerCloudTrailRoleサービスロールが既存のインラインポリシーAWSControlTowerCloudTrailRolePolicyではなく新しい管理ポリシーを使用していることを確認します。ドキュメントの説明に従って、現在のインラインポリシーをデタッチし、新しい管理ポリシーをアタッチします。

  • オプションのマニフェスト: ランディングゾーン API のマニフェストフィールドがオプションになりました。お客様は、サービス統合なしでランディングゾーンを作成できます。マニフェストフィールドを既に使用している既存の顧客には影響しません。

  • オプションの組織構造: AWS Control Tower は、お客様が独自の組織構造を定義および管理できるように、セキュリティ OU の作成を強制または管理しなくなりました。ただし、AWS Control Tower では、各 AWS サービス統合に設定されたすべてのアカウントを同じ親 OU の下にする必要があります。AWS Control Tower を既にセットアップしていて、Security OU を持っているお客様には影響はありません。AWS Control Tower は、Security OU でサービス統合アカウントを管理するために必要なリソースとコントロールを自動的にデプロイします。たとえば、AWS Config 統合が有効になっている場合、AWS Config の記録はすべてのサービス統合アカウントで有効になります。AWS Control Tower ベースラインと AWS Config ベースラインは、セキュリティ OU および統合アカウントには適用されません。サービス統合を変更するには、ランディングゾーンの設定を更新します。

    注記

    • AWS Control Tower ランディングゾーン 4.0 の組織構造設定が以前のランディングゾーンバージョンから変更されました。AWS Control Tower は、指定されたセキュリティ OU を作成しなくなります。サービス統合アカウントを持つ OU は、指定されたセキュリティ OU になります。

    • メンバーアカウントが各統合のアカウントが存在する OU に移動すると、自動登録がオンまたはオフになっているかどうかに関係なく、その OU で有効なコントロールがドリフトします。

    Security OU のベースラインステータス: AWS Control Tower ベースラインと AWS Config ベースラインを Security OU に適用することはできません。セキュリティ OU は、これらのベースラインのベースラインステータスを「該当なし」と表示します。このステータスは想定されます。BackupBaseline はセキュリティ OU に適用できます。

    AWS Control Tower は、OU レベルのベースラインではなくランディングゾーンを通じてサービス統合アカウントを管理します。サービス統合アカウントでベースラインステータスが「Not Enabled」と表示され、関連するサービス統合が無効になっている場合、AWS Control Tower はそのアカウントを管理しなくなります。

    サービス統合アカウントとして指定されていないセキュリティ OU のアカウントは、ベースラインリソースを受け取りません。これらのアカウントを管理するには、それらをマネージド OU に移動し、ガバナンスを拡張します。

    サービス統合アカウントの IAM Identity Center アクセス許可セット: AWS Control Tower は、ロギングアカウントと SecurityRoles アカウントの IAM Identity Center アクセス許可セットをプロビジョニングします。AWS Control Tower は、Config アカウントまたは Backup アカウントのアクセス許可セットをプロビジョニングしません。IAM Identity Center を介して Config または Backup アカウントにアクセスするには、AWS Control Tower がデプロイした IAM Identity Center リソースを使用してアクセス許可セットを手動で作成します。

  • ドリフト通知: AWS Control Tower は、ランディングゾーン 4.0 のすべてのお客様に対して、 AWSControlTowerBaselineを有効にせずにドリフト通知の SNS トピックへの送信を停止し、代わりに管理アカウントの EventBridge へのドリフト通知の送信を開始します。EventBridge を介してドリフト通知を受信する方法に関するサンプルイベントとガイダンスを確認するには、このガイドを確認してください。

  • オプションのサービス統合: AWS CloudTrail、SecurityRoles、 など AWS Config、すべての AWS Control Tower 統合を有効または無効にできるようになりました AWS Backup。これらの統合には、API でオプションで必要なenabledフラグも追加されました。ランディングゾーンまたは共有アカウントに適用される可能性のあるベースラインが、相互に依存するようになりました。統合固有の依存関係は次のとおりです。

    • 有効化:

      • CentralSecurityRolesBaseline → を有効にするCentralConfigBaseline必要があります

      • IdentityCenterBaseline → を有効にするCentralSecurityRolesBaseline必要があります

      • BackupCentralVaultBaseline → を有効にするCentralSecurityRolesBaseline必要があります

      • BackupAdminBaseline → を有効にするCentralSecurityRolesBaseline必要があります

      • LogArchiveBaseline → 独立 (依存関係なし)

      • CentralConfigBaseline → 独立 (依存関係なし)

    • 無効化:

      • CentralConfigBaseline は、CentralSecurityRolesBaseline、、IdentityCenterBaselineBackupAdminBaselineおよび BackupCentralVaultBaselineベースラインが最初に無効になっている場合にのみ無効にできます。

      • CentralSecurityRolesBaseline は、IdentityCenterBaseline、、BackupAdminBaselineおよび BackupCentralVaultBaselineベースラインが最初に無効になっている場合にのみ無効にできます。

      • IdentityCenterBaseline は個別に無効にできます。

      • BackupAdminBaseline および BackupCentralVaultBaselineベースラインは個別に無効にできます

      • LogArchiveBaseline は個別に無効にできます

    AWS Config サービス統合の有効化の範囲

    ランディングゾーンレベルで AWS Config サービス統合を有効にすると、Config 記録リソースはサービス統合アカウントにのみデプロイされます。 AWS Config リソース (Config Recorder、Delivery Channel) をメンバーアカウントにデプロイするには、各マネージド OU の AWS Config ベースラインを個別に有効にします。

    ランディングゾーンレベルで Config 統合を有効にすることは、OUs。ランディングゾーンレベルの設定だけでは、Config リソースはメンバーアカウントにデプロイされません。

    バージョン 4.0 での CentralizedLogging の動作の変更

    ランディングゾーンバージョン 3.3 以前では、CentralizedLogging を無効にすると、Organization CloudTrail がオフに切り替えられ、デプロイされたすべてのリソースが保持されました。バージョン 4.0 では、CentralizedLogging を無効にすると、ログ記録アカウントから関連するすべてのリソースが削除されます。これらのリソースには、Config Recorder、Delivery Channel、CloudTrail 関連のスタックインスタンスが含まれます。無効化後、AWS Control Tower はログ記録アカウントを管理しなくなります。

    ログ記録アカウントの管理を復元するには、CentralizedLogging を再度有効にするか、アカウントをマネージド OU に移動してガバナンスを拡張します。