【2023年6月版】AWS Control Tower を有効化してみた(AWS IAM Identity Center を使用)
こんにちは!丸屋 正志(Maruya Masashi) です。
はじめに
AWS Control Tower のバージョン3.2になったため、有効化の手順書も新しくしたいと思い、こちらのブログを書きました。
また、AWS Control Towerは長いため、CTと略させていただきます。
前提条件
事前に準備するもの
- メールアドレスを3個準備
- CT用のメールアドレス(管理用)
- ログ用のメールアドレス
- 監査用のメールアドレス
CT有効化後のイメージ図
有効化した際のランディングゾーンのバージョン情報
- バージョン 3.2
※ AWS Control Towerのランディングゾーンのバージョンの情報については、有効化後に確認ができます。
AWS Control Tower セットアップ
下記のURLから、CTページにアクセスし【ランディングゾーンの設定】をクリックします。
(※ 【AWSコンソール】→【Control Tower】→【ランディングゾーンの設定】という手順でも可能です)
Step 1 : 料金の確認とリージョンの選択
ホームリージョン
- 【アジアパシフィック (東京)】を選択
※ ホームリージョンには、最も使用頻度が高い AWS リージョンをホームリージョンにします。
参考 : ホームリージョンについて
リージョン拒否設定
- 【有効】を選択
参考 : Configure the Region deny control
ガバナンスのための追加 AWS リージョン
『アジアパシフィック(東京)』が選択されていることを確認し【次へ】をクリックします。
※ ここでは東京リージョンのみとしているが、他リージョンも追加は可能です。
参考 : AWS Control Tower で AWS リージョンを使用する方法
Step 2 : 組織単位 (OU) の設定
基礎となる OU
- 『OU 名を変更 - オプション』: [
SecurityOU] (任意の値を入力)
追加の OU
- 『OU 名を変更 - オプション』: [
TestControlTowerOU] (任意の値を入力)
Step 3 : 共有アカウントの設定
ログアーカイブアカウント
- 【新規アカウントの作成】を選択
- 『アカウントの作成』: [任意のメールアドレスを入力]
- 『アカウント名を変更 - オプション』: [Log Archive] (任意の値を入力)
参考1 : AWS Control Tower でのログ記録とモニタリング 参考2 : 共有アカウントについて
アカウントの監査
- 【新規アカウントの作成】を選択
- 『アカウントの作成』: [任意のメールアドレスを入力]
- 『アカウント名を変更 - オプション』: [Audit] (任意の値を入力)
参考 : 共有アカウントについて
Step 4 : Additional configurations
ユーザーアクセス設定
- 【Control Tower がアカウントのディレクトリグループとアクセス許可セットを自動生成することを許可する】 を選択
AWS CloudTrail の設定
- 【有効】を選択
参考 : CloudTrail によるイベントのモニタリング
Amazon S3 のログ設定 - オプション
- 『ログ用の Amazon S3 バケットの保持』
- [1] (お使いの用途に合わせて変更)
- 【days】(お使いの用途に合わせて変更)
- 『アクセスログ用の Amazon S3 バケットの保持』
- [1] (お使いの用途に合わせて変更)
- 【days】(お使いの用途に合わせて変更)
KMS 暗号化 - オプション
- 『暗号化設定を有効にして、カスタマイズする』: 【チェック外す】
※ 用途に合わせてご選択します。
参考 : KMS キーのガイダンス
Step 5 : ランディングゾーンの確認とセットアップ
ステップ1~ステップ4の内容に対して誤りが無いかを確認し、ステップ5の『了承に関する内容(長文のため省略)』:【チェック】を入れて、【ランディングゾーンの設定】をクリックします。
Step 6 : ランディングゾーンの状況確認
AWS Control Towerダッシュボードのヘッダー部分に《ランディングゾーンを設定する》と表示されていることを確認します。
※ ヘッダー部分が『完了』もしくは『青い進行状況バー』が消えたら、AWS Control Towerの有効化完了です。
Step 7 : ランディングゾーンの設定完了
IAM Identity Center セットアップ
Step 1 : 管理アカウントのメールアドレス
管理アカウントのメールアドレスに対して『件名 : Invitation to join IAM Identity Center (successor to AWS Single Sign-On)』もしくは、『件名 : Invitation to join AWS Single Sign-On』が届いているので【Accept invitation】をクリックします。
参考 : SNS サブスクリプションの確認
Step 2 : 新規ユーザーのサインアップ
- 『新規パスワード』: [管理アカウント用のパスワードを入力]
- 『パスワードを確認』: [管理アカウント用のパスワードを再入力]
各種入力が完了後に、【新しいパスワードを設定】をクリックして、サインインの画面に繊維します。
※ パスワードは強固な内容を推奨いたします。
Step 3 : サインイン
- 『ユーザー名』: [管理アカウントのメールアドレスを入力]
※ AWS SSO ユーザーポータルはブックマークしておくと便利です。
Step 4 : アクセス
ログインすると、下記の様なダッシュボード画面が表示されます。
(任意)AWS Notificationのセキュリティ通知
Step 1 : 監査アカウントのメールアドレス
監査アカウントのメールアドレスにたいして、『件名 : AWS Notification - Subscription Confirmation』が届いているので【Confirm subscription】をクリックします。
Step 2 : 画面の確認
下記画面のように表示されていれば確認完了です。
※ 【click here to unsubscribe】をクリックすると解除となります。
![[Amazon FSx for NetApp ONTAP] SMB暗号化時のパフォーマンスを比較してみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-9e9d102dfa6d7896319b16fe069cdf55/c3bbbeab42ba5764c5a573e979719805/amazon-fsx-for-netapp-ontap)
![[アップデート]Amazon Connectのフローに、SMS送信用のブロックが追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-a14da8621c55bd17addadcead8e0e00f/c928a36480d9593938e8d8f65ba92537/amazon-connect)
![[アップデート] Amazon Aurora PostgreSQL でも遂にリードレプリカのローカル書き込み転送機能がサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-7e1a533ff5b5a6a8eb5d4ae82bacdcd6/5845157a3c941213d245ec7cdf7358e8/amazon-aurora)
![[登壇レポート] AWS Service CatalogのTerraform Reference Engineを検証している話をしました #tora_tech](https://devio2024-media.developers.io/image/upload/v1729171992/user-gen-eyecatch/ij4cpgvshpblgymxrvsk.png)
