翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 共有アカウントで作成されたリソース
このセクションには、ランディングゾーンを設定するときに AWS Control Tower が共有アカウントに作成するリソースが表示されます。
メンバーアカウントリソースの詳細については、「[Account Factory のリソースに関する考慮事項](account-factory-considerations.md)」を参照してください。
## 管理アカウントのリソース
ランディングゾーンを設定すると、管理アカウント内に次の AWS リソースが作成されます。
| AWS のサービス | リソースタイプ | リソース名 |
| --- | --- | --- |
| AWS Organizations | アカウント | audit
log archive |
| AWS Organizations | OU | Security
Sandbox |
| AWS Organizations | サービスコントロールポリシー | aws-guardrails-\* |
| AWS CloudFormation | スタック | AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER
AWSControlTowerBP-BASELINE-CONFIG-MASTER (バージョン 2.6 以降) |
| AWS CloudFormation | StackSets | AWSControlTowerBP-BASELINE-CLOUDTRAIL (3.0 以降にはデプロイされません)
AWSControlTowerBP\_BASELINE\_SERVICE\_LINKED\_ROLE (Deployed in 3.2 and later)
AWSControlTowerBP-BASELINE-CLOUDWATCH
AWSControlTowerBP-BASELINE-CONFIG
AWSControlTowerBP-BASELINE-ROLES
AWSControlTowerBP-BASELINE-SERVICE-ROLES
AWSControlTowerBP-SECURITY-TOPICS
AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED
AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED
AWSControlTowerLoggingResources
AWSControlTowerSecurityResources
AWSControlTowerExecutionRole |
| AWS Service Catalog | 製品 | AWS Control Tower Account Factory |
| AWS Config | アグリゲータ | aws-controltower-ConfigAggregatorForOrganizations |
| AWS CloudTrail | 追跡 | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Logs | aws-controltower/CloudTrailLogs |
| AWS Identity and Access Management | ロール | AWSControlTowerAdmin
AWSControlTowerStackSetRole
AWSControlTowerCloudTrailRolePolicy |
| AWS Identity and Access Management | ポリシー | AWSControlTowerServiceRolePolicy
AWSControlTowerAdminPolicy
AWSControlTowerCloudTrailRolePolicy
AWSControlTowerStackSetRolePolicy |
| AWS IAM アイデンティティセンター | ディレクトリグループ | AWSAccountFactory
AWSAuditAccountAdmins
AWSControlTowerAdmins
AWSLogArchiveAdmins
AWSLogArchiveViewers
AWSSecurityAuditors
AWSSecurityAuditPowerUsers
AWSServiceCatalogAdmins |
| AWS IAM アイデンティティセンター | 許可セット | AWSAdministratorAccess
AWSPowerUserAccess
AWSServiceCatalogAdminFullAccess
AWSServiceCatalogEndUserAccess
AWSReadOnlyAccess
AWSOrganizationsFullAccess |
**注記**
CloudFormation StackSet `BP_BASELINE_CLOUDTRAIL`は、ランディングゾーンバージョン 3.0 以降ではデプロイされません。ただし、ランディングゾーンを更新するまでは、ランディングゾーンの以前のバージョンに引き続き存在します。
## ログアーカイブアカウントのリソース
ランディングゾーンを設定すると、ログアーカイブアカウント内に次の AWS リソースが作成されます。
| AWS のサービス | リソースタイプ | リソース名 |
| --- | --- | --- |
| AWS CloudFormation | スタック | StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED-
StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED
StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-
StackSet-AWSControlTowerBP-BASELINE-CONFIG-
StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-
StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-
StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later)
StackSet-AWSControlTowerBP-BASELINE-ROLES-
StackSet-AWSControlTowerLoggingResources- |
| AWS Config | AWS Config ルール | AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_READ\_PROHIBITED
AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_WRITE\_PROHIBIT |
| AWS CloudTrail | 追跡 | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch イベントルール | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Logs | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | ロール | aws-controltower-AdministratorExecutionRole
aws-controltower-CloudWatchLogsRole
aws-controltower-ConfigRecorderRole
aws-controltower-ForwardSnsNotificationRole
aws-controltower-ReadOnlyExecutionRole
AWSControlTowerExecution |
| AWS Identity and Access Management | ポリシー | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | トピック | aws-controltower-SecurityNotifications |
| AWS Lambda | アプリケーション | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\* |
| AWS Lambda | 関数 | aws-controltower-NotificationForwarder |
| Amazon Simple Storage Service | バケット | aws-controltower-logs-\*
aws-controltower-s3-access-logs-\* |
## アカウントリソースを監査する
ランディングゾーンを設定すると、監査アカウント内に次の AWS リソースが作成されます。
| AWS のサービス | リソースタイプ | リソース名 |
| --- | --- | --- |
| AWS CloudFormation | スタック | StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED-
StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED-
StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-
StackSet-AWSControlTowerBP-BASELINE-CONFIG-
StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-
StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-
StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later)
StackSet-AWSControlTowerBP-SECURITY-TOPICS-
StackSet-AWSControlTowerBP-BASELINE-ROLES-
StackSet-AWSControlTowerSecurityResources-\* |
| AWS Config | アグリゲータ | aws-controltower-GuardrailsComplianceAggregator |
| AWS Config | AWS Config ルール | AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_READ\_PROHIBITED
AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_WRITE\_PROHIBITED |
| AWS CloudTrail | 追跡 | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch イベントルール | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Logs | /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | ロール | aws-controltower-AdministratorExecutionRole
aws-controltower-CloudWatchLogsRole
aws-controltower-ConfigRecorderRole
aws-controltower-ForwardSnsNotificationRole
aws-controltower-ReadOnlyExecutionRole
aws-controltower-AuditAdministratorRole
aws-controltower-AuditReadOnlyRole
AWSControlTowerExecution |
| AWS Identity and Access Management | ポリシー | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | トピック | aws-controltower-AggregateSecurityNotifications
aws-controltower-AllConfigNotifications
aws-controltower-SecurityNotifications |
| AWS Lambda | 関数 | aws-controltower-NotificationForwarder |