` の値は `aws` です。
**製品バージョン**
+ AWS Control Tower バージョン 3.2 以降
+ Python バージョン 3.9 以降
+ npm バージョン 2.9.0 以降
## アーキテクチャ
このセクションでは、このソリューションの概要と、サンプルコードによって確立されたアーキテクチャについて説明します。次の図は、OU 内のさまざまなアカウントに展開されるコントロールを示しています。
AWS Control Tower コントロールは、その*動作*と*ガイダンス*に従って分類されます。
コントロールの動作には、主に 3 つのタイプがあります。
1. *予防コントロール*は、アクションの発生を防ぐように設計されています。これらは、 [のサービスコントロールポリシー (SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)または[リソースコントロールポリシー (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) で実装されます AWS Organizations。予防コントロールのステータスは、**適用**または**無効**です。予防的コントロールはすべての でサポートされています AWS リージョン。
1. *検出コントロール*は、特定のイベントが発生したときにそれを検出し、アクションを AWS CloudTrailに記録するように設計されています。これらは [AWS Config ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)で実装されています。検出コントロールのステータスは、**クリア**、**違反**、または**無効**です。検出コントロールは、 で AWS リージョン サポートされているコントロールにのみ適用されます AWS Control Tower。
1. *プロアクティブコントロール*は、 によってプロビジョニングされるリソースをスキャンし AWS CloudFormation 、会社のポリシーと目標に準拠しているかどうかをチェックします。準拠していないリソースはプロビジョニングされません。これらは [AWS CloudFormation フック](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/hooks.html)で実装されます。プロアクティブコントロールのステータスは、**合格**、**不合格**、または **スキップ**です。
コントロール*ガイダンス*とは、各コントロールを OUs に適用する方法について推奨されるプラクティスを指します。 AWS Control Tower は、*必須*、*強く推奨*、*選択的*の 3 つのカテゴリのガイダンスを提供します。コントロールのガイダンスは、コントロールの動作とは無関係です。詳細については、「[コントロールの動作とガイダンス](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html#control-behavior)」を参照してください。
## ツール
**AWS のサービス**
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html) は、コードで AWS クラウド インフラストラクチャを定義およびプロビジョニングするのに役立つソフトウェア開発フレームワークです。Toolkit [AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/cli.html)は、 AWS CDK アプリを操作するための主要なツールです。
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) は、 AWS リソースをセットアップし、迅速かつ一貫してプロビジョニングし、 AWS アカウント および 全体のライフサイクルを通じてリソースを管理するのに役立ちます AWS リージョン。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) は、 のリソースの詳細ビュー AWS アカウント と設定方法を提供します。リソースがどのように相互に関連しているか、またそれらの構成が時間の経過とともにどのように変化したかを特定するのに役立ちます。
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境のセットアップと管理に役立ちます。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立つアカウント管理サービスです。
**その他のツール**
+ [cdk\_nag](https://github.com/cdklabs/cdk-nag#readme) は、ルールパックを組み合わせて AWS CDK アプリケーションがベストプラクティスに準拠しているかどうかをチェックするオープンソースツールです。
+ [npm](https://docs.npmjs.com/about-npm/) は Node.js 環境で動作するソフトウェアレジストリで、パッケージの共有や借用、プライベートパッケージのデプロイの管理に使用されます。
+ 「[Python](https://www.python.org/)」は汎用のコンピュータープログラミング言語です。
**コードリポジトリ**
このパターンのコードは、 リポジトリを使用した GitHub Deploy コントロールで使用できます。 [AWS Control TowerAWS CDK](https://github.com/aws-samples/aws-control-tower-controls-cdk)**cdk.json** ファイルを使用して AWS CDK アプリを操作し、**package.json** ファイルを使用して npm パッケージをインストールします。
## ベストプラクティス
+ [最小特権の原則](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) (IAM ドキュメント) に従ってください。このパターンで提供されるサンプル IAM ポリシーと信頼ポリシーには、最低限必要なアクセス許可が含まれており、管理アカウントで作成された AWS CDK スタックはこれらのアクセス許可によって制限されます。
+ [AWS Control Tower 管理者向けのベストプラクティス](https://docs.aws.amazon.com/controltower/latest/userguide/best-practices.html) (AWS Control Tower ドキュメント) に従ってください。
+ (AWS CDK ドキュメント) [を使用してクラウドインフラストラクチャを開発およびデプロイするためのベストプラクティスに従います AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/best-practices.html)。
+ をブートストラップするときは AWS CDK、ブートストラップテンプレートをカスタマイズして、管理アカウントの任意のリソースを読み書きできるポリシーと信頼されたアカウントを定義します。詳細については、「[起動のカスタマイズ](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping-customizing)」を参照してください。
+ [cfn\_nag](https://github.com/stelligent/cfn_nag) などのコード分析ツールを使用して、生成された CloudFormation テンプレートをスキャンします。cfn-nag ツールは、インフラストラクチャが安全ではないことを示す可能性のあるパターンを CloudFormation テンプレートから探します。cdk-nag を使用して CloudFormation テンプレートを確認することもできます。これには [cloudformation-include](https://docs.aws.amazon.com/cdk/v2/guide/use_cfn_template.html) モジュールを使用します。
## エピック
### コントロールを有効にする準備をしてください。
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| 管理アカウントで IAM ロールを作成します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html) | DevOps エンジニア、AWS 全般 |
| ブートストラップ AWS CDK。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html) | DevOps エンジニア、AWS 全般、Python |
| リポジトリのクローン作成 | bash シェルで、次のコマンドを入力します。これにより、GitHub のリポジトリ[を使用して Deploy AWS Control Tower コントロール AWS CDK](https://github.com/aws-samples/aws-control-tower-controls-cdk)がクローンされます。git clone https://github.com/aws-samples/aws-control-tower-controls-cdk.git
| DevOps エンジニア、AWS 全般 |
| AWS CDK 設定ファイルを編集します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html) | DevOps エンジニア、AWS 全般 |
### 管理アカウントのコンソールを有効にする
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| デプロイアカウントで IAM ロールを引き受けます。 | デプロイアカウントで、管理アカウントに AWS CDK スタックをデプロイするアクセス許可を持つ IAM ロールを引き受けます。で IAM ロールを引き受ける方法の詳細については AWS CLI、『』の[「IAM ロールを使用する AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)」を参照してください。 | DevOps エンジニア、AWS 全般 |
| 環境をアクティブ化します。 | Linux または macOS を使用している場合:[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html)
Windows を使用している場合:[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html) | DevOps エンジニア、AWS 全般 |
| 依存関係をインストールします。 | 仮想環境がアクティブになったら、次のコマンドを入力して **install\_deps.sh** スクリプトを実行します。このスクリプトは、必要な依存ファイルをインストールします。$ ./scripts/install_deps.sh
| DevOps エンジニア、AWS 全般、Python |
| スタックをデプロイします。 | 次のコマンドを入力して、CloudFormation スタックを統合してデプロイします。$ npx cdk synth
$ npx cdk deploy
| DevOps エンジニア、AWS 全般、Python |
## 関連リソース
**AWS ドキュメント**
+ [コントロールについて](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html) (AWS Control Tower ドキュメント)
+ [コントロールライブラリ](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html) (AWS Control Tower ドキュメント)
+ [AWS CDK Toolkit コマンド](https://docs.aws.amazon.com/cdk/v2/guide/cli.html#cli-commands) (AWS CDK ドキュメント)
+ [Terraform を使用した AWS Control Tower コントロールのデプロイと管理](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-terraform.html) (AWS 規範ガイダンス)
**その他のリソース**
+ [Python](https://www.python.org/)
## 追加情報
**constants.py ファイルの例**
以下は、更新された **constants.py** ファイルの例です。このサンプルでは、**AWS-GR\_DISALLOW\_CROSS\_REGION\_NETWORKING** コントロール (グローバル ID: `dvuaav61i5cnfazfelmvn9m6k`) と **AWS-GR\_SUBNET\_AUTO\_ASSIGN\_PUBLIC\_IP\_DISABLED** コントロール (グローバル ID: `50z1ot237wl8u1lv5ufau6qqo`) を有効にします。グローバル IDs[「すべてのグローバル識別子](https://docs.aws.amazon.com/controltower/latest/controlreference/all-global-identifiers.html)」を参照してください。 AWS Control Tower
```
ACCOUNT_ID = 111122223333
AWS_CONTROL_TOWER_REGION = us-east-2
ROLE_ARN = "arn:aws:iam::111122223333:role/CT-Controls-Role"
GUARDRAILS_CONFIGURATION = [
{
"Enable-Control": {
"dvuaav61i5cnfazfelmvn9m6k": { # AWS-GR_DISALLOW_CROSS_REGION_NETWORKING
"Parameters": {
"ExemptedPrincipalArns": ["arn:aws:iam::111122223333:role/RoleName"]
},
"Tags": [{"key": "Environment", "value": "Production"}]
},
...
},
"OrganizationalUnitIds": ["ou-1111-11111111", "ou-2222-22222222"...],
},
{
"Enable-Control": {
"50z1ot237wl8u1lv5ufau6qqo", # AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED
...
},
"OrganizationalUnitIds": ["ou-2222-22222222"...],
},
]
```
**IAM ポリシー**
次のサンプルポリシーでは、デプロイアカウントから管理アカウントに AWS CDK スタックをデプロイするときに AWS Control Tower コントロールを有効または無効にするために必要な最小限のアクションを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"controltower:EnableControl",
"controltower:DisableControl",
"controltower:GetControlOperation",
"controltower:ListEnabledControls",
"organizations:AttachPolicy",
"organizations:CreatePolicy",
"organizations:DeletePolicy",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DetachPolicy",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListPoliciesForTarget",
"organizations:ListRoots",
"organizations:UpdatePolicy",
"ssm:GetParameters"
],
"Resource": "*"
}
]
}
```
**信頼ポリシー**
以下のカスタム信頼ポリシーでは、デプロイアカウントの特定の IAM ロールが管理アカウントの IAM ロールを引き継ぐことを許可しています。以下に置き換えます:
+ `` は、デプロイアカウントの ID です
+ `` は、管理アカウントでロールを引き受けることが許可されているデプロイアカウント内のロールの名前です。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam:::role/"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```