翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ベースラインのタイプ
AWS Control Tower のベースラインは、ターゲットに適用できるリソースと特定の設定のグループです。最も一般的なベースラインターゲットは、組織単位 (OU) です。例えば、ターゲットとして選択した OU でベースラインを有効にして、その OU を AWS Control Tower に登録できます。
ランディングゾーンの設定中に、一部のベースラインが共有アカウントで自動的に有効になる場合があります。ランディングゾーンの設定と構成に基づいて、特定のベースラインを有効にして更新できます。AWS Control Tower は、ベースラインで指定された方法でリソースを作成してターゲットにデプロイします。
ターゲットでベースラインを有効にすると、ベースラインは リソースと呼ばれる AWS EnabledBaselineリソースとして表されます。
AWS Control Tower には、一般的なベースラインタイプが 2 つあります。
-
OU で有効にできるベースライン。
-
ランディングゾーンのセットアップ中に共有アカウントで有効にできるベースライン。
OU レベルで適用されるベースラインタイプ
注記
EnableBaseline API で直接有効にできるのは、OU レベルで適用されるベースラインのみです。
-
名前:
AWSControlTowerBaseline説明: AWS Control Tower ガバナンスに必要な、ターゲット OU 内のメンバーアカウントのリソースと必須コントロールを設定します。
考慮事項: このベースラインは、ランディングゾーンのリージョン拒否コントロールの設定を保持します。つまり、リージョンがランディングゾーンレベルで許可されていない場合、
EnableBaselineAPI を呼び出して OU を登録する際に、そのリージョンはその OU に対して許可されません。注記
OU レベルのリージョン拒否コントロールは、ランディングゾーンのリージョン拒否コントロールが許可しないリージョンを許可することはできません。
詳細については、AWS Organizationsドキュメントの「How SCPs work with deny」を参照してください。
推奨事項: ターゲット OU がワークロードを実行している可能性のあるリージョンを確認し、その結果をランディングゾーンのリージョン拒否コントロールに対してチェックしてから、OU の
EnableBaselineAPI を呼び出すことをお勧めします。そうしないと、特定のリージョンのリソースにアクセスできなくなる可能性があります。 -
名前:
ConfigBaseline説明: このベースラインは、Detective Controls の有効化に必要なターゲット OU 内のメンバーアカウントの AWS Config 関連リソースを設定します。セットアップされたリソースは、AWSControlTowerBaseline のリソースのサブセットです。
考慮事項: このベースラインは、ランディングゾーンリージョン拒否コントロールの設定を保持しません。リージョン拒否コントロールは、ConfigBaseline の有効化の一部として有効になりません。
制限: AWSControlTowerBaseline と ConfigBaseline を同じ OU で有効にすることはできません。OU では、そのうちの 1 つだけが許可されます。
-
名前:
BackupBaseline説明: このベースラインは、ターゲット OU 内のメンバーアカウントのリソースとコントロールを設定します。これらは、 との統合によりAWS Backup、 間のデータバックアップを自動化しAWS のサービス、バックアップポリシー管理を一元化するために必要です。
考慮事項: ターゲット OU で
BackupBaselineを有効化する前に、ターゲット OU でAWSControlTowerBaselineが有効になっていることを確認してください。つまり、ターゲット OU は AWS Control Tower で登録されている必要があります。-
AWS Control Tower ランディングゾーンの作成プロセスAWS Backup中にアクティブ化するか、ランディングゾーンの更新プロセス中にアクティブ化するかを選択できます。
-
BackupBaselineは、ランディングゾーンバージョン 3.1 以降と互換性があります。 -
BackupBaselineは管理アカウントには適用されません。
-
ランディングゾーンのセットアップ中に共有アカウントに適用できるベースラインタイプ
AWS Control Tower は、ランディングゾーンのセットアップと更新プロセスの一環として、共有アカウントの特定のベースラインを有効にします。ランディングゾーンの設定を変更すると、ランディングゾーンのベースラインが変更される場合があります。例えば、IAM アイデンティティセンターをオプトインした場合、AWS Control Tower はランディングゾーンで最新バージョンの IdentityCenterBaseline ベースラインを有効にすることができます。
ListEnabledBaselines API コールを使用すると、ランディングゾーンで有効になっているベースラインを表示できます。
注記
Landing Zone バージョン 4.0 以降、AuditBaseline は CentralSecurityRolesBaselineと の 2 つの異なるベースラインに置き換えられますCentralConfigBaseline。
-
名前:
CentralConfigBaseline説明: AWS Config を使用して、組織内のコンプライアンスのモニタリングと監査のための中央リソースを設定します。
-
名前:
CentralSecurityRolesBaseline説明: 組織内のセキュリティモニタリング用の中央リソースを設定します。
-
名前:
AuditBaseline説明: 組織内のアカウントのセキュリティとコンプライアンスをモニタリングするためのリソースを設定します。
-
名前:
LogArchiveBaseline説明: 組織内のアカウントからの API アクティビティとリソース設定のログ用に中央リポジトリを設定します。
-
名前:
IdentityCenterBaseline説明: IAM アイデンティティセンターの共有リソースを設定します。これにより、
AWSControlTowerBaselineがアカウントのアイデンティティセンターアクセスを設定する準備が整います。考慮事項: このベースラインが機能するのは、ランディングゾーンの初期設定時に ID プロバイダーとして IAM アイデンティティセンターを選択した場合、または後でランディングゾーン設定を変更して、IAM アイデンティティセンターをランディングゾーンに対して有効にした場合のみです。別の ID プロバイダーを使用している場合、このベースラインを有効にするためのアクセス権限はありません。
-
名前:
BackupCentralVaultBaseline説明: 組織内の中央AWS Backupボールトを設定します。
-
名前:
BackupAdminBaseline説明: 委任管理者とAWS Backup Audit Manager を設定します。
有効なベースラインとメンバーアカウント
OU でベースラインを有効にすると、その設定は OU のメンバーアカウントによって継承されます。継承の事実により、アカウントを参照するときに子で有効なベースラインと呼びます。OU に適用されるベースラインは、親で有効なベースラインと呼ばれます。親で有効なベースラインは、子で有効なベースラインの設定を制御します。これは、OU で有効になっている制御が OU 内のすべてのアカウントに適用されるのに似ています。
アカウントのベースラインのステータスを表示する
AWS Control Tower では、ベースラインを使用してアカウントを直接ターゲットにすることはできません。ただし、継承された子で有効なベースラインを使用して、各メンバーアカウントの有効化とドリフトのステータスを追跡できます。アカウントのステータスを表示するには、includeChildren 機能フラグを使用して ListEnabledBaselines API を呼び出します。
アカウントのベースラインを無効にする
AWS Control Tower では、親が有効なベースラインにリンクされた子が有効なベースラインを無効にすることはできません。子が有効なベースラインは、継承がドリフトし、親が有効なベースラインにリンクされなくなった場合に無効にできます。
ベースラインとバージョニングのデフォルト
AWS Control Tower のランディングゾーンが既に設定されている場合に、ランディングゾーンのベースラインの有効化を選択すると、AWS Control Tower はランディングゾーンのバージョンと互換性のある最新バージョンのベースラインを有効にします。まだ AWS Control Tower に登録されていない OU に対してベースラインの有効化を選択すると、AWS Control Tower は互換性のある最新バージョンのベースラインをその OU に自動的に提供します。
