9
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

BeeXAdvent Calendar 2021

Day 17

ControlTower②ControlTower内の状況確認

Last updated at Posted at 2021-12-16

ControlTower関連記事リンク

・ControlTower①マルチアカウント環境をセットアップする
・ControlTower②ControlTower内の状況確認←今ここ
・ControlTower③SSOの確認・アカウントの追加・削除
・ControlTower④ガードレールの設定
・ControlTower⑤Auditアカウントに作成されるリソースについて
・ControlTower⑥LogArchiveアカウントに作成されるリソースについて
・ControlTower⑦SecurityHubの有効化
・ControlTower⑧GuardDutyの有効化
・ControlTower⑨CloudWatchクロスアカウントダッシュボードの設定
・ControlTower⑩LogArchiveアカウント内バケットへのCloudWatchLogs集約

ControlTowerの管理画面を確認してみる

前回はControlTowerのセットアップを行いました。ControlTowerによるランディングゾーンの設定が完了したら、管理画面からOUやアカウント、ガードレールなどが確認できるようになります。設定完了直後のダッシュボードはこんな感じです。左メニューからOU・アカウント・AccountFactory(※アカウント追加~初期設定を自動で設定してくれる機能)・ガードレールなどが選択できます。私はControlTower初心者なので、まずは各メニューについて確認していきます。
image.png

組織単位

組織単位の画面には、ControlTowerのRootOU(つまり今いるアカウントのOU)以外に、セットアップで作成したSecurityOU、SandboxOUなどが並んでいます。モザイクをかけている部分には、検証環境に元々存在したOUが表示されていました。
今のところ、RootOUにはRootアカウント一つが、SecurityOUにはAuditアカウントとLogArchiveアカウントの二つが「登録アカウント」となっている状態です。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

アカウント

アカウントの一覧画面です。
今回は既にOUが存在する状況でControlTowerのセットアップを行ったので、Root・Audit・LogArchiveアカウント以外にもいくつかアカウントが登録されています。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

AccountFactory

ControlTower管理下の組織では、アカウントを追加する際にAccountFactoryを使用してアカウントの作成+初期設定(Config・CloudTrailの有効化やAuditアカウントへの集約設定、SSO設定など)が行えます。AccoumtFactoryによるアカウント追加は後程行うことにして、ここでは一旦画面だけ確認していきます。
image.png
image.png

ガードレール

ガードレール画面です。初期状態なので、現在は必須のガードレールのみ有効化されています。
image.png

ユーザーとアクセス画面

ControlTowerを使用すると、各アカウントにログインする為のSSOも自動で設定されます。後程、SSOの権限についても確認してみます。
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png
{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

ランディングゾーン設定

ランディングゾーン設定です。セットアップでは東京・バージニアの二か所をリージョン指定しましたが、管理対象リージョンの追加や暗号化設定の変更も可能です。

image.png

リージョンの確認画面です。
image.png

KMS暗号化の画面です。
image.png

ランディングゾーンの廃止画面です。もしControlTowerのランディングゾーンを無効化したい場合は、ここから設定する形となります。
image.png

「設定を変更する」を押下するとランディングゾーンの設定を変更できます。
image.png

管理対象のリージョンを追加・削除する場合は「ガバナンスの為の追加AWSリージョン」のメニューを展開し、チェックボックスを追加していく形になります。
image.png

KMS暗号化の設定についても、メニューを展開し変更が可能です。
image.png

アクティビティ

ControlTower管理画面での操作履歴が表示されています。
どのユーザーがどういった操作を行ったのかが追跡しやすいですね。

{5DB2ECAB-E045-4E79-BEA6-90E21F38D16E}.tmp.png

画像だらけで内容があまりないですが、いったんここで区切ろうと思います。
次回の記事で、AccountFactoryによるアカウントの追加やガードレールの追加操作などを書いていこうと思います。

9
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
9
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?