3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

ControlTower④ガードレールの設定

Last updated at Posted at 2022-02-07

前回はControlTowerで設定したSSOへの設定追加と、ControlTowerへアカウントを追加していく方法について記載しました。今回はControlTower配下の組織にガードレールを追加する手順について書いていこうと思います。

ControlTower関連リンクまとめ

・ControlTower①マルチアカウント環境をセットアップする
・ControlTower②ControlTower内の状況確認
・ControlTower③SSOの確認・アカウントの追加・削除
・ControlTower④ガードレールの設定←今ここ
・ControlTower⑤Auditアカウントに作成されるリソースについて
・ControlTower⑥LogArchiveアカウントに作成されるリソースについて
・ControlTower⑦SecurityHubの有効化
・ControlTower⑧GuardDutyの有効化
・ControlTower⑨CloudWatchクロスアカウントダッシュボードの設定
・ControlTower⑩LogArchiveアカウント内バケットへのCloudWatchLogs集約

ガードレールの追加

まずはControlTowerのトップページからガードレールの一覧ページに移動します。
初期状態では必須のガードレールのみが有効になっている状態です。
image.png

「強く推奨」のガードレールを有効にしてみます。
「ガードレール」上部の検索ボックスにキーワードを入れると、関連のありそうなガードレールが予測で表示されます。
image.png

ガードレール名のリンクからガードレールの詳細画面に移動します。
image.png

ガードレールの詳細画面をスクロールしていくと、「組織単位が有効」というセクションがあります。ここからガードレールを有効化できそうです。
image.png

「OUでガードレールを有効にする」のボタンを押下します。
image.png

ガードレールを適用するOUの選択画面が表示されます。
ガードレールを適用したいOUのチェックボックスにチェックを入れ、「OUでガードレールを有効にする」ボタンを押下します。
ちなみにこのチェックボックスは複数選択できないので、複数OUにガードレールを適用したい場合は一つ一つ作業する必要があります。

image.png

ガードレール詳細の画面に戻ります。上部に「ガードレール有効化中」の表示が出ていることを確認します。

image.png

ガードレールの有効化には数分かかります。
ガードレールの有効化が完了しないうちに別のガードレールを追加しようとすると、「ガードレールを有効にできません」というエラーが出てしまいます。
複数OUに複数のガードレールを追加したい場合は意外と時間がかかります。今後のアップデートでの改善されるとうれしいですね。

image.png

ガードレールを無効にする

追加したガードレールを無効にする場合も、各ガードレールの詳細画面「組織単位が有効」から行うことができます。ガードレールを無効化したい組織のチェックボックスにチェックを入れ、「ガードレールを無効にする」ボタンを押下します。

image.png

ガードレール無効化の確認画面が表示されるので、「無効化」を押下します。

image.png

無効化を選択したOUには「無効化中」の表示が出ていますね。
image.png

画面上部にも「ガードレールが無効化されました」と表示が出ています。
有効化と同様、無効化にも数分かかります。
image.png

管理(Root)アカウントの役割整理

ControlTower①~④までの記事では、管理アカウント内のControlTowerでできることを確認していきました。
ControlTowerを有効化すると、LogArchiveアカウント・Auditアカウントなど、役割ごとにいくつかアカウントが作成されます。そのため、ここで一旦管理アカウントの役割をまとめてみました。
管理(Root)アカウントでは、ControlTowerの管理画面からControlTower配下の各組織の管理が行えます。ガードレールの追加・削除、アカウントの追加・削除、ランディングゾーンの追加・削除などです。また、アカウントの追加・削除を行った際のSSOの設定についても、管理アカウントから行うことになります。
image.png

ここまでお読みいただきありがとうございました。
次回はAuditアカウント内に構築されているリソースの状況について記事を書こうと思います。

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?