【2023年6月版】AWS Control Tower を有効化してみた(AWS IAM Identity Center を使用)

【2023年6月版】AWS Control Tower を有効化してみた(AWS IAM Identity Center を使用)

Clock Icon2023.06.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!丸屋 正志(Maruya Masashi) です。

はじめに

AWS Control Tower のバージョン3.2になったため、有効化の手順書も新しくしたいと思い、こちらのブログを書きました。

また、AWS Control Towerは長いため、CTと略させていただきます。


前提条件

事前に準備するもの

  • メールアドレスを3個準備
    • CT用のメールアドレス(管理用)
    • ログ用のメールアドレス
    • 監査用のメールアドレス


CT有効化後のイメージ図


有効化した際のランディングゾーンのバージョン情報

  • バージョン 3.2

※ AWS Control Towerのランディングゾーンのバージョンの情報については、有効化後に確認ができます。


AWS Control Tower セットアップ

下記のURLから、CTページにアクセスし【ランディングゾーンの設定】をクリックします。

(※ 【AWSコンソール】【Control Tower】【ランディングゾーンの設定】という手順でも可能です)


Step 1 : 料金の確認とリージョンの選択

ホームリージョン

  • 【アジアパシフィック (東京)】を選択

※ ホームリージョンには、最も使用頻度が高い AWS リージョンをホームリージョンにします。

参考 : ホームリージョンについて


リージョン拒否設定

  • 【有効】を選択

参考 : Configure the Region deny control


ガバナンスのための追加 AWS リージョン

『アジアパシフィック(東京)』が選択されていることを確認し【次へ】をクリックします。

※ ここでは東京リージョンのみとしているが、他リージョンも追加は可能です。

参考 : AWS Control Tower で AWS リージョンを使用する方法


Step 2 : 組織単位 (OU) の設定

基礎となる OU

  • 『OU 名を変更 - オプション』: [SecurityOU] (任意の値を入力)


追加の OU

  • 『OU 名を変更 - オプション』: [TestControlTowerOU] (任意の値を入力)


Step 3 : 共有アカウントの設定

ログアーカイブアカウント

  1. 【新規アカウントの作成】を選択
  2. 『アカウントの作成』: [任意のメールアドレスを入力]
  3. 『アカウント名を変更 - オプション』: [Log Archive] (任意の値を入力)

参考1 : AWS Control Tower でのログ記録とモニタリング
参考2 : 共有アカウントについて


アカウントの監査

  1. 【新規アカウントの作成】を選択
  2. 『アカウントの作成』: [任意のメールアドレスを入力]
  3. 『アカウント名を変更 - オプション』: [Audit] (任意の値を入力)

参考 : 共有アカウントについて


Step 4 : Additional configurations

ユーザーアクセス設定

  • 【Control Tower がアカウントのディレクトリグループとアクセス許可セットを自動生成することを許可する】 を選択


AWS CloudTrail の設定

  • 【有効】を選択

参考 : CloudTrail によるイベントのモニタリング


Amazon S3 のログ設定 - オプション

  • 『ログ用の Amazon S3 バケットの保持』
    • [1] (お使いの用途に合わせて変更)
    • 【days】(お使いの用途に合わせて変更)
  • 『アクセスログ用の Amazon S3 バケットの保持』
    • [1] (お使いの用途に合わせて変更)
    • 【days】(お使いの用途に合わせて変更)


KMS 暗号化 - オプション

  • 『暗号化設定を有効にして、カスタマイズする』: 【チェック外す】

※ 用途に合わせてご選択します。

参考 : KMS キーのガイダンス


Step 5 : ランディングゾーンの確認とセットアップ

ステップ1~ステップ4の内容に対して誤りが無いかを確認し、ステップ5の『了承に関する内容(長文のため省略)』:【チェック】を入れて、【ランディングゾーンの設定】をクリックします。


Step 6 : ランディングゾーンの状況確認

AWS Control Towerダッシュボードのヘッダー部分に《ランディングゾーンを設定する》と表示されていることを確認します。

※ ヘッダー部分が『完了』もしくは『青い進行状況バー』が消えたら、AWS Control Towerの有効化完了です。


Step 7 : ランディングゾーンの設定完了


IAM Identity Center セットアップ

Step 1 : 管理アカウントのメールアドレス

管理アカウントのメールアドレスに対して『件名 : Invitation to join IAM Identity Center (successor to AWS Single Sign-On)』もしくは、『件名 : Invitation to join AWS Single Sign-On』が届いているので【Accept invitation】をクリックします。

参考 : SNS サブスクリプションの確認


Step 2 : 新規ユーザーのサインアップ

  • 『新規パスワード』: [管理アカウント用のパスワードを入力]
  • 『パスワードを確認』: [管理アカウント用のパスワードを再入力]

各種入力が完了後に、【新しいパスワードを設定】をクリックして、サインインの画面に繊維します。

※ パスワードは強固な内容を推奨いたします。


Step 3 : サインイン

  • 『ユーザー名』: [管理アカウントのメールアドレスを入力]

※ AWS SSO ユーザーポータルはブックマークしておくと便利です。


Step 4 : アクセス

ログインすると、下記の様なダッシュボード画面が表示されます。


(任意)AWS Notificationのセキュリティ通知

Step 1 : 監査アカウントのメールアドレス

監査アカウントのメールアドレスにたいして、『件名 : AWS Notification - Subscription Confirmation』が届いているので【Confirm subscription】をクリックします。


Step 2 : 画面の確認

下記画面のように表示されていれば確認完了です。

※ 【click here to unsubscribe】をクリックすると解除となります。


参考サイト

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.