共有アカウントについて - AWS Control Tower
管理アカウントログアーカイブアカウント監査アカウント

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

共有アカウントについて

AWS Control Tower には、管理アカウント、監査アカウント、ログアーカイブアカウントの 3 つの特別なAWS アカウントが関連付けられています。これらのアカウントは通常、共有アカウントと呼ばれ、場合によってはコアアカウントと呼ばれることもあります。

  • ランディングゾーンのセットアップ時に、監査アカウントとログアーカイブアカウントの名前をカスタマイズすることを選択できます。アカウント名の変更については、「AWS Control Tower の外部でのリソース名の変更」を参照してください。

  • 最初のランディングゾーンのセットアッププロセス中に、既存の を AWS Control Tower セキュリティまたはログ記録アカウントAWS アカウントとして指定することもできます。このオプションを使用すると、AWS Control Tower で新しい共有アカウントを作成する必要がなくなります (これは 1 回限りの選択です)。

共有アカウントおよび関連リソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

管理アカウント

これにより、AWS Control Tower がAWS アカウント起動します。デフォルトでは、このアカウントのルートユーザーおよびこのアカウントの IAM ユーザーまたは IAM 管理者ユーザーは、ランディングゾーン内のすべてのリソースへのフルアクセス権を持っています。

注記

ベストプラクティスとして、AWS Control Tower コンソール内で管理機能を実行するときには、このアカウントのルートユーザーまたは IAM 管理者ユーザーとしてサインインするのではなく、管理者権限を持つ IAM Identity Center ユーザーとしてサインインすることをお勧めします。

管理アカウントで使用できるロールとリソースの詳細については、「共有アカウントで作成されたリソース」を参照してください。

ログアーカイブアカウント

ログアーカイブ共有アカウントは、別のAWSアカウントを特に持ち込まない場合、ランディングゾーンの作成時に自動的に設定されます。

このアカウントには、ランディングゾーン内の他のすべてのアカウントのすべてのAWS CloudTrailとAWS Configログファイルのコピーを保存するための中央 Amazon S3 バケットが含まれています。ベストプラクティスとして、ログアーカイブアカウントへのアクセスを制限することをお勧めします。コンプライアンスと調査を担当し、それに関連するセキュリティツールまたは監査ツールを使用するチームに制限します。このアカウントは、自動セキュリティ監査や、Lambda 関数AWS Config ルールなどのカスタムをホストして修復アクションを実行するために使用できます。

Amazon S3 バケットポリシー

AWS Control Tower ランディングゾーンバージョン 3.3 以降では、アカウントは監査バケットへの書き込みアクセス許可のために、aws:SourceOrgID 条件を満たす必要があります。この条件によってのみ、CloudTrail は組織内のアカウントに代わってお客様の S3 バケットへログを書き込めるようになり、組織外の CloudTrail ログによるお客様の AWS Control Tower S3 バケットへの書き込みを防ぎます。詳細については、「AWS Control Tower ランディングゾーンバージョン 3.3」を参照してください。

ログアーカイブアカウントで使用可能なロールとリソースの詳細については、「ログアーカイブアカウントのリソース」を参照してください。

注記

これらのログは変更できません。アカウントアクティビティに関連する監査とコンプライアンス調査の目的で、すべてのログが保存されます。

監査アカウント

特に別のアカウントを使用しない場合、この共有アカウントは、ランディングゾーンの作成時に自動的にセットアップされます。

監査アカウントは、セキュリティとコンプライアンスのチームに制限することをお勧めします。チームは、ランディングゾーン内のすべてのアカウントに対して監査人 (読み取り専用) と管理者 (フルアクセス) というアカウント横断的なロールを持ちます。このようなロールは、セキュリティとコンプライアンスのチームが次の目的で使用するためのものです。

  • カスタムAWS Configルールの Lambda 関数のホスティングなどのAWSメカニズムを使用して監査を実行します。

  • 修復アクションなど、自動化されたセキュリティ操作を実行します。

また、監査アカウントは Amazon Simple Notification Service (Amazon SNS) サービスから通知を受け取ります。次の 3 つのカテゴリの通知を受け取ることができます。

  • すべての設定イベント – このトピックでは、ランディングゾーン内のすべてのアカウントからのすべての CloudTrail とAWS Config通知を集約します。

  • セキュリティ通知の集約 — このトピックでは、特定の CloudWatch イベント、AWS Config ルールコンプライアンスステータス変更イベント、および GuardDuty 検出結果から受け取ったすべてのセキュリティ通知が集約されます。

  • ドリフト通知 - このトピックでは、ランディングゾーン内のすべてのアカウント、ユーザー、OU、および SCP で検出されたすべてのドリフト警告が集約されます。ドリフトの詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。

メンバーアカウント内でトリガーされる監査通知では、ローカルの Amazon SNS トピックにアラートを送信することもできます。この機能により、アカウント管理者は個々のメンバーアカウントに固有の監査通知をサブスクライブできます。そのため、管理者は個々のアカウントに影響する問題を解決しながら、一元管理された監査アカウントにすべてのアカウント通知を集約できます。詳細については、「Amazon Simple Notification Service デベロッパーガイド」を参照してください。

監査アカウントで使用できるロールとリソースの詳細については、「アカウントリソースを監査する」を参照してください。

プログラムによる監査の詳細については、「Programmatic roles and trust relationships for the AWS Control Tower audit account」を参照してください。

重要

監査アカウントに指定した E メールアドレス宛てに、AWS Control Tower でサポートされているすべてのAWS リージョンから「AWS通知 – サブスクリプションの確認」という件名の E メールが届きます。監査アカウントでコンプライアンス E メールを受信するには、AWS Control Tower でAWS リージョンサポートされている各 E メールから、各 E メール内のサブスクリプションの確認リンクを選択する必要があります。