ControlTower②ControlTower内の状況確認

ControlTower関連記事リンク

・ControlTower①マルチアカウント環境をセットアップする
・ControlTower②ControlTower内の状況確認←今ここ
・ControlTower③SSOの確認・アカウントの追加・削除
・ControlTower④ガードレールの設定
・ControlTower⑤Auditアカウントに作成されるリソースについて
・ControlTower⑥LogArchiveアカウントに作成されるリソースについて
・ControlTower⑦SecurityHubの有効化
・ControlTower⑧GuardDutyの有効化
・ControlTower⑨CloudWatchクロスアカウントダッシュボードの設定
・ControlTower⑩LogArchiveアカウント内バケットへのCloudWatchLogs集約

ControlTowerの管理画面を確認してみる

前回はControlTowerのセットアップを行いました。ControlTowerによるランディングゾーンの設定が完了したら、管理画面からOUやアカウント、ガードレールなどが確認できるようになります。設定完了直後のダッシュボードはこんな感じです。左メニューからOU・アカウント・AccountFactory（※アカウント追加～初期設定を自動で設定してくれる機能）・ガードレールなどが選択できます。私はControlTower初心者なので、まずは各メニューについて確認していきます。

組織単位

組織単位の画面には、ControlTowerのRootOU（つまり今いるアカウントのOU）以外に、セットアップで作成したSecurityOU、SandboxOUなどが並んでいます。モザイクをかけている部分には、検証環境に元々存在したOUが表示されていました。
今のところ、RootOUにはRootアカウント一つが、SecurityOUにはAuditアカウントとLogArchiveアカウントの二つが「登録アカウント」となっている状態です。

アカウント

アカウントの一覧画面です。
今回は既にOUが存在する状況でControlTowerのセットアップを行ったので、Root・Audit・LogArchiveアカウント以外にもいくつかアカウントが登録されています。

AccountFactory

ControlTower管理下の組織では、アカウントを追加する際にAccountFactoryを使用してアカウントの作成＋初期設定（Config・CloudTrailの有効化やAuditアカウントへの集約設定、SSO設定など）が行えます。AccoumtFactoryによるアカウント追加は後程行うことにして、ここでは一旦画面だけ確認していきます。

ガードレール

ガードレール画面です。初期状態なので、現在は必須のガードレールのみ有効化されています。

ユーザーとアクセス画面

ControlTowerを使用すると、各アカウントにログインする為のSSOも自動で設定されます。後程、SSOの権限についても確認してみます。

ランディングゾーン設定

ランディングゾーン設定です。セットアップでは東京・バージニアの二か所をリージョン指定しましたが、管理対象リージョンの追加や暗号化設定の変更も可能です。

リージョンの確認画面です。

KMS暗号化の画面です。

ランディングゾーンの廃止画面です。もしControlTowerのランディングゾーンを無効化したい場合は、ここから設定する形となります。

「設定を変更する」を押下するとランディングゾーンの設定を変更できます。

管理対象のリージョンを追加・削除する場合は「ガバナンスの為の追加AWSリージョン」のメニューを展開し、チェックボックスを追加していく形になります。

KMS暗号化の設定についても、メニューを展開し変更が可能です。

アクティビティ

ControlTower管理画面での操作履歴が表示されています。
どのユーザーがどういった操作を行ったのかが追跡しやすいですね。

画像だらけで内容があまりないですが、いったんここで区切ろうと思います。
次回の記事で、AccountFactoryによるアカウントの追加やガードレールの追加操作などを書いていこうと思います。