ControlTower関連記事リンク
・ControlTower①マルチアカウント環境をセットアップする
・ControlTower②ControlTower内の状況確認←今ここ
・ControlTower③SSOの確認・アカウントの追加・削除
・ControlTower④ガードレールの設定
・ControlTower⑤Auditアカウントに作成されるリソースについて
・ControlTower⑥LogArchiveアカウントに作成されるリソースについて
・ControlTower⑦SecurityHubの有効化
・ControlTower⑧GuardDutyの有効化
・ControlTower⑨CloudWatchクロスアカウントダッシュボードの設定
・ControlTower⑩LogArchiveアカウント内バケットへのCloudWatchLogs集約
ControlTowerの管理画面を確認してみる
前回はControlTowerのセットアップを行いました。ControlTowerによるランディングゾーンの設定が完了したら、管理画面からOUやアカウント、ガードレールなどが確認できるようになります。設定完了直後のダッシュボードはこんな感じです。左メニューからOU・アカウント・AccountFactory(※アカウント追加~初期設定を自動で設定してくれる機能)・ガードレールなどが選択できます。私はControlTower初心者なので、まずは各メニューについて確認していきます。
組織単位
組織単位の画面には、ControlTowerのRootOU(つまり今いるアカウントのOU)以外に、セットアップで作成したSecurityOU、SandboxOUなどが並んでいます。モザイクをかけている部分には、検証環境に元々存在したOUが表示されていました。
今のところ、RootOUにはRootアカウント一つが、SecurityOUにはAuditアカウントとLogArchiveアカウントの二つが「登録アカウント」となっている状態です。
アカウント
アカウントの一覧画面です。
今回は既にOUが存在する状況でControlTowerのセットアップを行ったので、Root・Audit・LogArchiveアカウント以外にもいくつかアカウントが登録されています。
AccountFactory
ControlTower管理下の組織では、アカウントを追加する際にAccountFactoryを使用してアカウントの作成+初期設定(Config・CloudTrailの有効化やAuditアカウントへの集約設定、SSO設定など)が行えます。AccoumtFactoryによるアカウント追加は後程行うことにして、ここでは一旦画面だけ確認していきます。
ガードレール
ガードレール画面です。初期状態なので、現在は必須のガードレールのみ有効化されています。
ユーザーとアクセス画面
ControlTowerを使用すると、各アカウントにログインする為のSSOも自動で設定されます。後程、SSOの権限についても確認してみます。
ランディングゾーン設定
ランディングゾーン設定です。セットアップでは東京・バージニアの二か所をリージョン指定しましたが、管理対象リージョンの追加や暗号化設定の変更も可能です。
リージョンの確認画面です。
KMS暗号化の画面です。
ランディングゾーンの廃止画面です。もしControlTowerのランディングゾーンを無効化したい場合は、ここから設定する形となります。
「設定を変更する」を押下するとランディングゾーンの設定を変更できます。
管理対象のリージョンを追加・削除する場合は「ガバナンスの為の追加AWSリージョン」のメニューを展開し、チェックボックスを追加していく形になります。
KMS暗号化の設定についても、メニューを展開し変更が可能です。
アクティビティ
ControlTower管理画面での操作履歴が表示されています。
どのユーザーがどういった操作を行ったのかが追跡しやすいですね。
画像だらけで内容があまりないですが、いったんここで区切ろうと思います。
次回の記事で、AccountFactoryによるアカウントの追加やガードレールの追加操作などを書いていこうと思います。