前回はControlTowerで設定したSSOへの設定追加と、ControlTowerへアカウントを追加していく方法について記載しました。今回はControlTower配下の組織にガードレールを追加する手順について書いていこうと思います。
ControlTower関連リンクまとめ
・ControlTower①マルチアカウント環境をセットアップする
・ControlTower②ControlTower内の状況確認
・ControlTower③SSOの確認・アカウントの追加・削除
・ControlTower④ガードレールの設定←今ここ
・ControlTower⑤Auditアカウントに作成されるリソースについて
・ControlTower⑥LogArchiveアカウントに作成されるリソースについて
・ControlTower⑦SecurityHubの有効化
・ControlTower⑧GuardDutyの有効化
・ControlTower⑨CloudWatchクロスアカウントダッシュボードの設定
・ControlTower⑩LogArchiveアカウント内バケットへのCloudWatchLogs集約
ガードレールの追加
まずはControlTowerのトップページからガードレールの一覧ページに移動します。
初期状態では必須のガードレールのみが有効になっている状態です。
「強く推奨」のガードレールを有効にしてみます。
「ガードレール」上部の検索ボックスにキーワードを入れると、関連のありそうなガードレールが予測で表示されます。
ガードレール名のリンクからガードレールの詳細画面に移動します。
ガードレールの詳細画面をスクロールしていくと、「組織単位が有効」というセクションがあります。ここからガードレールを有効化できそうです。
「OUでガードレールを有効にする」のボタンを押下します。
ガードレールを適用するOUの選択画面が表示されます。
ガードレールを適用したいOUのチェックボックスにチェックを入れ、「OUでガードレールを有効にする」ボタンを押下します。
ちなみにこのチェックボックスは複数選択できないので、複数OUにガードレールを適用したい場合は一つ一つ作業する必要があります。
ガードレール詳細の画面に戻ります。上部に「ガードレール有効化中」の表示が出ていることを確認します。
ガードレールの有効化には数分かかります。
ガードレールの有効化が完了しないうちに別のガードレールを追加しようとすると、「ガードレールを有効にできません」というエラーが出てしまいます。
複数OUに複数のガードレールを追加したい場合は意外と時間がかかります。今後のアップデートでの改善されるとうれしいですね。
ガードレールを無効にする
追加したガードレールを無効にする場合も、各ガードレールの詳細画面「組織単位が有効」から行うことができます。ガードレールを無効化したい組織のチェックボックスにチェックを入れ、「ガードレールを無効にする」ボタンを押下します。
ガードレール無効化の確認画面が表示されるので、「無効化」を押下します。
無効化を選択したOUには「無効化中」の表示が出ていますね。
画面上部にも「ガードレールが無効化されました」と表示が出ています。
有効化と同様、無効化にも数分かかります。
管理(Root)アカウントの役割整理
ControlTower①~④までの記事では、管理アカウント内のControlTowerでできることを確認していきました。
ControlTowerを有効化すると、LogArchiveアカウント・Auditアカウントなど、役割ごとにいくつかアカウントが作成されます。そのため、ここで一旦管理アカウントの役割をまとめてみました。
管理(Root)アカウントでは、ControlTowerの管理画面からControlTower配下の各組織の管理が行えます。ガードレールの追加・削除、アカウントの追加・削除、ランディングゾーンの追加・削除などです。また、アカウントの追加・削除を行った際のSSOの設定についても、管理アカウントから行うことになります。
ここまでお読みいただきありがとうございました。
次回はAuditアカウント内に構築されているリソースの状況について記事を書こうと思います。