用語 - AWS Control Tower

用語

ここでは、AWS Control Tower のドキュメントに表示されるいくつかの用語を簡単に確認します。

まず、AWS Control Tower が、このドキュメント全体に出現する「組織」と「組織単位 (OU)」という用語を含め、AWS Organizations サービスと多くの用語を共有していることを知っておいてください。

  • 組織と OU の詳細については、「AWS Organizations の用語と概念」を参照してください。AWS Control Tower を初めて使用する場合は、その用語を理解することから始めましょう。

  •  AWS Organizations は、AWS でのワークロードの増加とスケールに合わせて環境を一元管理できるようにする AWS のサービスです。AWS Control Tower は、AWS Organizations に依存してアカウントを作成し、OU レベルで予防コントロールを実施して、一元的な請求を行います。

  • AWS Account Factory アカウントは、AWS Control Tower の Account Factory を使用してプロビジョニングされた AWS アカウントです。Account Factory は、アカウントの「自動販売機」と非公式に呼ばれることもあります。

  • AWS Control Tower ホームリージョンは、AWS Control Tower ランディングゾーンがデプロイされた AWS リージョンです。ホームリージョンは、ランディングゾーン設定で表示できます。

  • AWS Service Catalog では、一般的にデプロイされる IT サービスを一元管理できます。このドキュメントのコンテキストでは、Account Factory は AWS Service Catalog を使用して、カスタマイズされたブループリントによるアカウントを含む新しい AWS アカウントをプロビジョニングします。

  • AWS CloudFormation StackSets は、スタックの機能を拡張するリソースのタイプで、1 回のオペレーションと 1 つの CloudFormation テンプレートで、複数のアカウントおよびリージョンにまたがるスタックを作成、更新、または削除できます。

  • スタックインスタンスは、リージョン内のターゲットアカウントのスタックへの参照です。

  • スタックは、単一のユニットとして管理できる AWS リソースのコレクションです。

  • アグリゲータは、組織内の複数のアカウントおよびリージョンから AWS Config 設定およびコンプライアンスデータを収集する AWS Config リソースタイプです。これにより、1 つのアカウント内でこのコンプライアンスデータを表示およびクエリできます。

  • コンフォーマンスパック は、AWS Config ルールと修復アクションの集まりで、アカウントやリージョン、または AWS Organizations 組織全体で単一のエンティティとしてデプロイできます。適合パックを使用して、AWS Control Tower 環境をカスタマイズできます。詳細を説明している技術的なブログについては、「関連情報」を参照してください。

  • AWS Control Tower のベースラインは、ターゲットに適用できるリソースと特定の設定のグループです。最も一般的なベースラインターゲットは、組織単位 (OU) です。例えば、AWSControlTowerBaseline というベースラインを使用して、OU を AWS Control Tower に登録することができます。ランディングゾーンの設定および更新時には、共有アカウント、またはランディングゾーン全体の特定の設定をベースラインターゲットとすることができます。

  • ブループリント:ブループリントは、いくつかのメタデータをカプセル化するアーティファクトで、アカウント内にデプロイされるインフラストラクチャコンポーネントを定義します。例えば、CloudFormationテンプレートは AWS Control Tower アカウントのブループリントとして使用できます。

  • ドリフト: AWS Control Tower によってインストールされ、設定されたリソースの変更。ドリフトのないリソースにより、AWS Control Tower が正常に機能できるようになります。

  • 非準拠のリソース: 特定の検出コントロールを定義する AWS Config ルールに違反しているリソース。

  • 共有アカウント: ランディングゾーンの設定時に AWS Control Tower によって自動的に作成される 3 つのアカウント (管理アカウント、ログアーカイブアカウント、監査アカウント) のうちの 1 つ。設定時に、ログアーカイブアカウントと監査アカウントのカスタマイズされた名前を選択できます。

  • メンバーアカウント: メンバーアカウントは、AWS Control Tower 組織に属します。メンバーアカウントは、AWS Control Tower に登録または登録解除できます。登録された OU に、登録済みアカウントと未登録アカウントが混在している場合:

    • OU で有効になっている (または OU で継承された) 予防コントロールは、未登録アカウントを含む、その OU 内のすべてのアカウントに適用されます。これは、アカウントレベルではなく OU レベルの SCP、RCP、または宣言型ポリシーで予防コントロールが実施されるためです。詳細については、AWS Organizations ドキュメントのサービスコントロールポリシーの継承を参照してください。

    • OU で有効になっている検出コントロールは、未登録アカウントには適用されません。

    • プロアクティブコントロールは、AWS CloudFormation フックにより実装されます。これらのコントロールは、OU に登録されていないアカウントには適用されません。

    アカウントは一度に 1 つの組織のメンバーにしかなることができず、その料金はその組織の管理アカウントに請求されます。メンバーアカウントは、組織のルートコンテナに移動できます。

  • AWS アカウント: AWS アカウントは、リソースコンテナおよびリソース分離境界として機能します。AWS アカウントは、請求と支払いに関連付けることができます。AWS アカウントは、AWS Control Tower のユーザーアカウント (IAM ユーザーアカウントとも呼ばれます) とは異なります。Account Factory のプロビジョニングプロセスによって作成されたアカウントは AWS アカウントです。AWS アカウントは、アカウント登録または OU 登録プロセスの一環として AWS Control Tower に追加することもできます。

  • コントロール: コントロール (ガードレールとも呼ばれます) は、AWS Control Tower 環境全体に継続的なガバナンスを提供する高レベルのルールです。各コントロールは、1 つのルールを適用します。予防コントロールは、SCP で実装されます。検出コントロールは、AWS Config ルールと共に実装されます。プロアクティブコントロールは、CloudFormation フックを使用して実装されます。詳細については、「コントロールの仕組み」を参照してください。

  • Control Catalog: AWS Control Tower コントロールカタログは、コンソールと API で AWS Control Tower を通して利用可能なすべてのコントロールの便覧です。以前は Control Library と呼ばれていました。用語を名前空間の名前 controlcatalog に一致させました。

  • ランディングゾーン: ランディングゾーンは、デフォルトのアカウント、アカウント構造、ネットワークおよびセキュリティレイアウトなど、推奨される開始点を提供するクラウド環境です。ランディングゾーンから、ソリューションとアプリケーションを利用するワークロードをデプロイできます。

  • フレームワーク: フレームワークは、特定の規制基準または業界要件です。Control Catalog オントロジーでは、フレームワークは標準コントロールで表されます。詳細については、Control Catalog の「Ontology overview」を参照してください。

  • ネストされた OU: AWS Control Tower のネストされた OU は、別の OU に含まれる OU です。ネストされた OU は、厳密に親を 1 つ持つことができ、各アカウントを厳密に 1 つの OU のメンバーにすることができます。ネストされた OU は、階層を作成します。階層内の OU のいずれかにポリシーをアタッチすると、その配下にあるすべての OU とアカウントに適用されます。AWS Control Tower のネストされた OU 階層は、最大 5 レベルの深さになることができます。

  • 親 OU: 階層内の現在の OU のすぐ上にある OU。各 OU は、親 OU を 1 つだけ持つことができます。

  • 子 OU: 階層内の現在の OU より下にある OU。OU は、多数の子 OU を持つことができます。

  • OU 階層: AWS Control Tower では、ネストされた OU の階層に最大 5 つのレベルを設定できます。ネストの順序は、レベルと呼ばれます。階層の最上位は、レベル 1 と呼ばれます。

  • 最上位の OU: 最上位の OU は、ルート自体ではなく、ルートの直下にある任意の OU です。ルートは、OU とは見なされません。

  • 管理対象: 管理対象リージョンは、組織が設定したガバナンスポリシーに従って、AWS Control Tower によって環境内で管理および制御されます。これらの AWS リージョンは、ベストプラクティスと組織ポリシーに準拠するようにモニタリングされます。これらのリージョンのリソースは、AWS Control Tower コントロールを有効にすると保護されます。

  • 管理対象外: ステータスが [管理対象外] と表示されるリージョンは、AWS Control Tower によって制御もモニタリングもされません。通常、これらの AWS リージョンは、AWS Control Tower が適用するのと同じガバナンスポリシーに準拠していません。これらのリージョンにリソースを作成することは可能ですが、作成したリソースは AWS Control Tower コントロールでは保護されません。

  • 拒否済み: 拒否済みのリージョンは、AWS Control Tower によって明確にブロックされます。AWS Control Tower 環境内では、これらの AWS リージョンにリソースをプロビジョニングすることはできません。