翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ステップ 2. Accelerate での管理リソースのオンボーディング
これは、管理リソースのオンボーディングプロセスの概要です。
**条件に同意する**
クラウドサービスデリバリーマネージャー (CSDM) が承認プロセスを案内します。利用規約、選択、アドオン、サービスレベルアグリーメント (SLA) AWS リージョンに同意する必要があります。
**AMS ロールにアクセス許可を付与する**
AMS プロセスと Cloud Architect へのアクセスを許可する必要があります。これを行うには、ロールごとに CloudFormation スタックを作成します。[AMS ロールを作成するテンプレート](acc-onb-roles.md) 「」と「」を参照してください[for Accelerate CloudFormation `aws_managedservices_onboarding_role`で を作成する](acc-onb-create-roles-with-cf.md)。詳細については、「[AMS Accelerate でのアクセス管理](acc-access.md)」を参照してください。
**AMS が設定を確認する**
Cloud Architect (CA) は、サービスコントロールポリシー (SCPs) や、AMS が AMS に必要なツールやリソースをデプロイできない可能性のあるセキュリティ検出結果など、アカウントで発生する可能性のある設定上の問題も探します。CA は、検出結果を修復し、AMS ツールとリソースのデプロイに対するブロッカーを削除するのに役立ちます。
**AMS が AWS CloudTrail 証跡設定を確認する**
Cloud Architect (CA) は CloudTrail 証跡設定を確認し、AMS でグローバル CloudTrail 証跡をデプロイするか、Accelerate を CloudTrail アカウントまたは Organization 証跡リソースと統合するかを確認します。Accelerate を CloudTrail 証跡と統合することを選択した場合、CA は CloudTrail 証跡リソースの設定に必要な更新をガイドします。
**AMS が管理リソースをデプロイする**
AMS チームは、AMS Accelerate のさまざまなサービスを提供するツールと AWS リソースをデプロイします。完了すると、AMS は AWS Managed Services アカウントを構築し、アカウントがアクティブであることを AMS から通知されます。
これで、*オンボーディング管理リソース*ステージは終了です。オンボーディングプロセスの次のステップ に直接進むことができます[ステップ 3. デフォルトポリシーを使用した AMS 機能のオンボーディング](acc-get-feature-config.md)。
**注記**
アカウントがアクティブになったので、次のいずれかのタスクを実行できます。
サポートセンターコンソールを使用して、 AWS インフラストラクチャのインシデントとサービスリクエストを作成します。「[AMS Accelerate でのインシデントレポート、サービスリクエスト、請求に関する質問](acc-supp-ex.md)」を参照してください。
AMS、 によってデプロイされた AWS Config ルールのアカウントの適合ステータスを確認します[Accelerate の設定コンプライアンス](acc-sec-compliance.md)。
GuardDuty および Macie (オプション) の検出結果を見つけて分析します。「[GuardDuty によるモニタリング](acc-sec-data-protect.md#acc-sec-data-protect-gd)」を参照してください。
CloudTrail ログへのアクセスと監査
AMS Accelerate アカウントの変更を追跡します。「[AMS Accelerate アカウントの変更の追跡](acc-change-record.md)」を参照してください。
Resource Tagger を使用してタグを作成します。「[リソースタガーの高速化](acc-resource-tagger.md)」を参照してください。
パッチ、バックアップ、 AWS Config レポートをリクエストします。「[レポートとオプション](ams-reporting.md)」を参照してください。
# 設定を確認して更新し、AMS Accelerate が CloudTrail 証跡を使用できるようにします。
AMS Accelerate は、アカウント内のすべてのリソースの監査とコンプライアンスを管理するために AWS CloudTrail ログ記録に依存しています。オンボーディング中に、 Accelerate がプライマリ AWS リージョンに CloudTrail 証跡をデプロイするか、既存の CloudTrail アカウントまたは Organization 証跡によって生成されたイベントを使用するかを選択します。アカウントに証跡が設定されていない場合、 Accelerate はオンボーディング中にマネージド CloudTrail 証跡をデプロイします。
**重要**
CloudTrail ログ管理設定は、AMS Accelerate を CloudTrail アカウントまたは Organization 証跡と統合する場合にのみ必要です。
## Cloud Architect (CA) を使用して、CloudTrail イベント配信先の CloudTrail 証跡設定、Amazon S3 バケットポリシー、および AWS KMS キーポリシーを確認します。 Amazon S3
Accelerate が CloudTrail 証跡を使用する前に、Cloud Architect (CA) と協力して Accelerate の要件を満たすように設定を確認して更新する必要があります。Accelerate を CloudTrail Organization 証跡と統合することを選択した場合、CA はお客様と協力して CloudTrail イベント配信先の Amazon S3 バケットと AWS KMS キーポリシーを更新し、Accelerate アカウントからのクロスアカウントクエリを有効にします。Amazon S3 バケットは、 Accelerate が管理するアカウント、またはユーザーが管理するアカウントにあることができます。オンボーディング中、 Accelerate は CloudTrail Organization 証跡イベントの配信先に対してクエリを実行できることを検証し、クエリが失敗するとオンボーディングを一時停止します。CA と協力してこれらの設定を修正し、オンボーディングを再開できるようにします。
### CloudTrail アカウントまたは組織の証跡設定を確認して更新する
CloudTrail アカウントまたは Organization 証跡リソースの Accelerate CloudTrail ログ管理を統合するには、次の設定が必要です。
+ CloudTrail 証跡は、すべての からのイベントをログに記録するように設定されています AWS リージョン。
+ CloudTrail 証跡では、[グローバルサービスイベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events)が有効になっています。
+ CloudTrail アカウントまたは Organization 証跡は、読み取りおよび書き込み[イベントを含むすべての管理](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)イベントをログに記録し、 AWS KMS Amazon RDS Data API イベントログ記録が有効になっています。 [https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt)
+ CloudTrail 証跡では[、ログファイルの整合性検証](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)が有効になっています。
+ CloudTrail 証跡の Amazon S3 バケットは、[SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) または [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) 暗号化を使用してイベントを暗号化するためにイベントを配信します。
+ CloudTrail 証跡がイベントを配信する Amazon S3 バケットでは、[サーバーアクセスのログ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)記録が有効になっています。
+ CloudTrail 証跡がイベントを配信する Amazon S3 バケットには、CloudTrail 証跡データを少なくとも 18 か月間保持する[ライフサイクル設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)があります。
+ CloudTrail 証跡がイベントを配信する Amazon S3 バケットには、[オブジェクト所有権](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)がバケット所有者に設定されています。
+ CloudTrail 証跡がイベントを配信する Amazon S3 バケットは、 Accelerate からアクセスできます。
#### CloudTrail イベント配信先の Amazon S3 バケットポリシーを確認して更新する
オンボーディング中、Cloud Architect (CA) と協力してAmazon S3 バケットポリシーステートメントを CloudTrail イベント配信先に追加します。ユーザーが Accelerate アカウントから CloudTrail イベント配信先 Amazon S3 バケットの変更をクエリできるようにするには、Accelerate が管理する Organization の各アカウントに統一された名前の IAM ロールをデプロイし、すべての Amazon S3 バケットポリシーステートメント`aws:PrincipalArn`のリストに追加します。この設定では、ユーザーは Athena を使用して Accelerate でアカウントの CloudTrail Organization 証跡イベントをクエリおよび分析できます。Amazon S3 バケットポリシーを更新する方法の詳細については、Amazon *Simple Storage Service ユーザーガイドの*[Amazon S3コンソールを使用したバケットポリシーの追加](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」を参照してください。
**重要**
Amazon S3 バケットポリシーの更新は、Accelerate が一元化された S3 バケットにイベントを配信する CloudTrail 証跡と統合されている場合にのみ必要です。Accelerate は、一元化されたバケットに を配信する CloudTrail 証跡との統合をサポートしていませんが、 AWS 組織の下にアカウントはありません。
**注記**
Amazon S3 バケットポリシーを更新する前に、*赤い*フィールドを該当する値に置き換えます。
*amzn-s3-demo-bucket* アカウントからの証跡イベントを含む Amazon S3 バケットの名前。
*your-organization-id* と、アカウントがメンバーである AWS 組織の ID。
*your-optional-s3-log-delievery-prefix* と CloudTrail 証跡の Amazon S3 バケット配信プレフィックス。例えば、CloudTrail 証跡の作成時に設定した `my-bucket-prefix`などです。 [ CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)
証跡に Amazon S3 バケット配信プレフィックスを設定していない場合は、次の Amazon S3 バケットポリシーステートメントから*「your-optional-s3-log-delievery-prefix*」とスラッシュ (`/`) を削除します。
次の 3 つの Amazon S3 バケットポリシーステートメントは、 Accelerate アカウントからイベント配信先 Amazon S3 バケット内の [ CloudTrail イベントを分析する](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html)ための の設定を取得して AWS Athena クエリを実行するアクセスを Accelerate に付与します。
```
{
"Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringLike": {
"s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
#### CloudTrail イベント配信先の AWS KMS キーポリシーを確認して更新する
オンボーディング中、Cloud Architect (CA) と協力して、Amazon S3 バケットに配信される CloudTrail 証跡イベントの暗号化に使用される AWS KMS キーポリシーを更新します。参照 AWS KMS キーポリシーステートメントを既存の AWS KMS キーに追加してください。これにより、 Accelerate が既存の CloudTrail 証跡イベント配信先 Amazon S3 バケットと統合され、イベントが復号化されるように設定されます。ユーザーが Accelerate アカウントから CloudTrail イベント配信先 Amazon S3 バケットの変更をクエリできるようにするには、Accelerate が管理している Organization の各アカウントに統一された名前の IAM ロールをデプロイし、それを「aws:PrincipalArn」リストに追加します。この設定では、ユーザーはイベントをクエリできます。
考慮すべき AWS KMS キーポリシーの更新シナリオはさまざまです。すべてのイベントを暗号化するために CloudTrail 証跡に設定された AWS KMS キーのみがあり、Amazon S3 バケット内のオブジェクトを暗号化する AWS KMS キーがない場合があります。または、CloudTrail によって配信されるイベントを暗号化する AWS KMS キーと、Amazon S3 バケットに保存されているすべてのオブジェクトを暗号化する AWS KMS 別のキーがある場合があります。 AWS KMS キーが 2 つある場合は、各 AWS KMS キーのキーポリシーを更新して、Accelerate に CloudTrail イベントへのアクセスを許可します。ポリシーを更新する前に、参照 AWS KMS キーポリシーステートメントを既存の AWS KMS キーポリシーに修正してください。 AWS KMS キーポリシーを更新する方法の詳細については、「 *AWS Key Management Service ユーザーガイド*」の[「キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)」を参照してください。
**重要**
Accelerate がログファイル SSE-KMS 暗号化が有効になっている CloudTrail 証跡と統合されている場合にのみ、 AWS KMS キーポリシーを更新する必要があります。
**注記**
この AWS KMS キーポリシーステートメントを Amazon S3 バケットに配信される AWS CloudTrail イベントの暗号化に使用される AWS KMS キーに適用する前に、次の*赤い*フィールドを該当する値に置き換えます。
アカウントがメンバーである AWS 組織の ID を持つ *YOUR-ORGANIZATION-ID*。
この AWS KMS キーポリシーステートメントは、Accelerate が CloudTrail イベントのクエリと分析に使用する Athena に制限されたアクセスを持つ、組織内の各アカウントから Amazon S3 バケットに配信される証跡イベントの復号化とクエリへのアクセスを高速化します。 [ CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html)
```
{
"Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
# AMS ロールを作成するテンプレート
次の AMS ロールは、AMS クラウドアーキテクト (CA) にアクセス許可を付与します。次の zip ファイルには、IAM ロール、アクセス許可ポリシー、信頼ポリシーの作成を簡素化する Terraform コードと CloudFormation テンプレートが含まれています。詳細については、CA にお問い合わせください。
| ロール名 | で必須 | サンプルテンプレート |
| --- |--- |--- |
| `aws_managedservices_onboarding_role` | AMS personnel during onboarding only | [onboarding\$1role\$1minimal.zip](samples/onboarding_role_minimal.zip) |
**注記**
サンプルテンプレート (ロールごとに 1 つずつ) を選択してダウンロードしたら、 の CloudFormation スタックの定義としてアップロードします[for Accelerate CloudFormation `aws_managedservices_onboarding_role`で を作成する](acc-onb-create-roles-with-cf.md)。
# for Accelerate CloudFormation `aws_managedservices_onboarding_role`で を作成する
AWS Identity and Access Management ロール は、 CloudFormation から `aws_managedservices_onboarding_role`を使用して作成できます AWS マネジメントコンソール。または、 のコマンドを使用してロールを AWS CloudShell デプロイすることもできます。
## を使用する AWS マネジメントコンソール
**注記**
開始する前に、各ロールの JSON または YAML ファイルをアップロードする準備をします。詳細については、「[AMS ロールを作成するテンプレート](acc-onb-roles.md)」を参照してください。
からロールを作成するには AWS マネジメントコンソール、次の手順を実行します。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソールを開きます。
![\[CloudFormation Stacks interface showing no stacks and options to create or view guide.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/image1.png)
1. **スタックの作成 > 新しいリソース (標準)** を選択します。次のページが表示されます。
![\[Create stack interface with options to specify template and upload template file.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/image2.png)
1. **テンプレートファイルのアップロード**を選択し、IAM ロールの JSON または YAML ファイルをアップロードしてから、**次へ**を選択します。次のページが表示されます。
![\[Form for specifying stack details, including stack name and parameters fields.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/image3.png)
1. スタック名フィールドに**スタック名****ams-onboarding-role**「」を入力します。「YYYY-MM-DDT00:00:00Z」の形式を使用して **DateOfExpiry** を入力します (現在の日付から 30 日後が推奨されます)。このページに到達するまで、下にスクロールして次を選択します。
![\[Capabilities section with AWSIAM role requirement and checkbox for custom names.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/accelerate-guide/images/image4.png)
1. チェックボックスがオンになっていることを確認し、**スタックの作成**を選択します。
1. スタックが正常に作成されたことを確認します。
## からコマンドを使用する AWS CloudShell
IAM `aws_managedservices_onboarding_role` ロールをデプロイするには、 で次のコマンドを実行します[AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html)。
------
#### [ AWS CLI ]
```
curl -s "https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip" -o "onboarding_role_minimal.zip"
unzip -q -o onboarding_role_minimal.zip
aws cloudformation create-stack \
--stack-name "aws-managedservices-onboarding-role" \
--capabilities CAPABILITY_NAMED_IAM \
--template-body file://onboarding_role_minimal.json \
--parameters ParameterKey=DateOfExpiry,ParameterValue="`date -d '+30 days' -u '+%Y-%m-%dT%H:%M:%SZ'`"
```
------
#### [ AWS Tools for PowerShell ]
```
Invoke-WebRequest -Uri 'https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip' -OutFile 'onboarding_role_minimal.zip'
Expand-Archive -Path 'onboarding_role_minimal.zip' -DestinationPath . -Force
New-CFNStack `
-StackName 'aws-managedservices-onboarding-role' `
-Capability CAPABILITY_NAMED_IAM `
-TemplateBody (Get-Content 'onboarding_role_minimal.json' -Raw) `
-Parameter @{ParameterKey = "DateOfExpiry"; ParameterValue = (Get-Date).AddDays(30).ToString('yyyy-MM-ddTHH:mm:ssZ')}
```
------
ロールを作成したら、Cloud Architect (CA) と協力して[ステップ 2. Accelerate での管理リソースのオンボーディング](acc-get-mgmt-resource-onboard.md)プロセスを完了します。AMS がアカウントがアクティブであることを通知したら、インスタンスをオンボードする準備が整います。