` の値は `aws` です。
**製品バージョン**
+ AWS Control Tower バージョン 3.2 以降
+ Terraform バージョン 1.5 以降
+ Terraform AWS プロバイダーバージョン 4.67 以降
## アーキテクチャ
このセクションでは、このソリューションの概要と、サンプルコードによって確立されたアーキテクチャについて説明します。次の図は、OU 内のさまざまなアカウントに展開されるコントロールを示しています。
![\[組織単位のすべての AWS アカウントにデプロイされた制御のアーキテクチャ図。\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/6e0d6c30-a539-44b7-8415-e669fb2ad26a/images/60407c0e-852e-4d5f-9a7d-8510316063aa.png)
AWS Control Tower コントロールは、その*動作*と*ガイダンス*に従って分類されます。
コントロールの動作には、主に 3 つのタイプがあります。
1. *予防コントロール*は、アクションの発生を防ぐように設計されています。これらは、 [のサービスコントロールポリシー (SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)または[リソースコントロールポリシー (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) で実装されます AWS Organizations。予防コントロールのステータスは、**適用**または**無効**です。予防的コントロールはすべての でサポートされています AWS リージョン。
1. *検出コントロール*は、特定のイベントが発生したときにそれを検出し、アクションを AWS CloudTrailに記録するように設計されています。これらは [AWS Config ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)で実装されています。検出コントロールのステータスは、**クリア**、**違反**、または**無効**です。検出コントロールは、 で AWS リージョン サポートされているコントロールにのみ適用されます AWS Control Tower。
1. *プロアクティブコントロール*は、 によってプロビジョニングされるリソースをスキャンし AWS CloudFormation 、会社のポリシーと目標に準拠しているかどうかをチェックします。準拠していないリソースはプロビジョニングされません。これらは [AWS CloudFormation フック](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/hooks.html)で実装されます。プロアクティブコントロールのステータスは、**合格**、**不合格**、または **スキップ**です。
コントロール*ガイダンス*は、各コントロールを OUs。 AWS Control Tower は、*必須*、*強く推奨*、*選択的*の 3 つのカテゴリのガイダンスを提供します。コントロールのガイダンスは、コントロールの動作とは無関係です。詳細については、「[コントロールの動作とガイダンス](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html#control-behavior)」を参照してください。
## ツール
**AWS のサービス**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) は、 AWS リソースをセットアップし、迅速かつ一貫してプロビジョニングし、 AWS アカウント および リージョン全体のライフサイクルを通じてリソースを管理するのに役立ちます。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) には、 のリソース AWS アカウント の詳細と設定方法が表示されます。リソースがどのように相互に関連しているか、またそれらの構成が時間の経過とともにどのように変化したかを特定するのに役立ちます。
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境のセットアップと管理に役立ちます。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立つアカウント管理サービスです。
**その他のツール**
+ [HashiCorp Terraform](https://www.terraform.io/docs) は、コードを使用してクラウドインフラストラクチャとリソースをプロビジョニングして管理するのを支援する Infrastructure as Code (IaC) ツールです。
**コードリポジトリ**
このパターンのコードは、GitHub [Deploy and manage AWS Control Tower controls by using Terraform repository ](https://github.com/aws-samples/aws-control-tower-controls-terraform)で入手できます。
## ベストプラクティス
+ このソリューションのデプロイに使用する IAM ロールは、「[最小権限の原則](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)」 (IAM ドキュメント) に従う必要があります。
+ [AWS Control Tower 管理者向けのベストプラクティス](https://docs.aws.amazon.com/controltower/latest/userguide/best-practices.html) (AWS Control Tower ドキュメント) に従います。
## エピック
### 管理アカウントのコンソールを有効にする
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| リポジトリのクローン作成 | bash シェルで、次のコマンドを入力します。これにより、GitHub の [Terraform リポジトリを使用して AWS Control Tower 、コントロールのデプロイと管理の](https://github.com/aws-samples/aws-control-tower-controls-terraform)クローンが作成されます。git clone https://github.com/aws-samples/aws-control-tower-controls-terraform.git
| DevOps エンジニア |
| Terraform バックエンド設定ファイルを編集します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-terraform.html) | DevOps エンジニア、Terraform |
| Terraform プロバイダー設定ファイルを編集します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-terraform.html) | DevOps エンジニア、Terraform |
| 設定ファイルを編集します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-terraform.html) | DevOps エンジニア、AWS 全般、Terraform |
| 管理アカウントで IAM ロールを割り当てます。 | 管理アカウントでは、Terraform 設定ファイルをデプロイする権限のある IAM ロールを引き受けます。必要な権限とサンプルポリシーの詳細については、このパターンの「[追加情報](#deploy-and-manage-aws-control-tower-controls-by-using-terraform-additional)」セクションにある「*IAM ロールの最小特権*」を参照してください。で IAM ロールを引き受ける方法の詳細については AWS CLI、『』の[「IAM ロールを使用する AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html)」を参照してください。 | DevOps エンジニア、AWS 全般 |
| 設定ファイルをデプロイします。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-terraform.html) | DevOps エンジニア、AWS 全般、Terraform |
### (オプション) AWS Control Tower 管理アカウントのコントロールを無効にする
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| `destroy` コマンドを実行します。 | 以下のコマンドを入力して、このパターンでデプロイされたリソースを削除します。$ terraform destroy -var-file="variables.tfvars"
| DevOps エンジニア、AWS 全般、Terraform |
## トラブルシューティング
| 問題 | ソリューション |
| --- | --- |
| `Error: creating ControlTower Control ValidationException: Guardrail is already enabled on organizational unit ` エラー | 有効化しようとするコントロールは、ターゲット OU で有効になっています。このエラーは、ユーザーが を通じて、 を通じて AWS マネジメントコンソール、 AWS Control Tower または を通じてコントロールを手動で有効にした場合に発生する可能性があります AWS Organizations。Terraform 設定ファイルをデプロイするには、次のいずれかのオプションを使用できます。**オプション 1: Terraform の現在の状態ファイルを更新する**Terraform の現在の状態ファイルにリソースをインポートできます。`apply` コマンドを再実行すると、Terraform はこのリソースをスキップします。次の手順に従い、現在の Terraform 状態にリソースをインポートします。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-terraform.html)**オプション 2: コントロールを無効にする**実稼働以外の環境で作業している場合は、コンソールでコントロールを無効にできます。「[エピック](#deploy-and-manage-aws-control-tower-controls-by-using-terraform-epics)」セクションにある「*設定を展開する*」の手順を繰り返して、再度有効にします。コントロールが無効になる期間があるため、このアプローチは実稼働環境にはお勧めしません。このオプションを本番環境で使用する場合は、 AWS Organizationsに SCP を一時的に適用するなど、一時的な制御を実装できます。 |
## 関連リソース
**AWS ドキュメント**
+ [コントロールについて](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html) (AWS Control Tower ドキュメント)
+ [コントロールライブラリ](https://docs.aws.amazon.com/controltower/latest/userguide/controls-reference.html) (AWS Control Tower ドキュメント)
+ [AWS CDK と を使用して AWS Control Tower コントロールをデプロイおよび管理します AWS CloudFormation](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html) (AWS 規範ガイダンス)
**その他のリソース**
+ [Terraform](https://www.terraform.io/)
+ [Terraform CLI のドキュメント](https://www.terraform.io/cli)
## 追加情報
**variables.tfvars ファイルの例******
以下に、更新された **variables.tfvars** ファイルの例を示します。このサンプルでは、**AWS-GR\$1ENCRYPTED\$1VOLUMES** コントロール (グローバル ID: `503uicglhjkokaajywfpt6ros`) と **AWS-GR\$1SUBNET\$1AUTO\$1ASSIGN\$1PUBLIC\$1IP\$1DISABLED** コントロール (グローバル ID: `50z1ot237wl8u1lv5ufau6qqo`) を有効にします。グローバル IDs[「すべてのグローバル識別子](https://docs.aws.amazon.com/controltower/latest/controlreference/all-global-identifiers.html)」を参照してください。 AWS Control Tower
次の例では、**CT.S3.PV.5** (グローバル ID: `7mo7a2h2ebsq71l8k6uzr96ou`) や **CT.SECRETSMANAGER.PV.1** (グローバル ID: `dvhe47fxg5o6lryqrq9g6sxg4`) などのパラメータを持つコントロールも有効にしています。パラメータを含むコントロールのリストについては、 AWS Control Tower ドキュメントの[「パラメータを含むコントロール](https://docs.aws.amazon.com/controltower/latest/controlreference/control-parameter-concepts.html)」を参照してください。
```
controls = [
{
control_names = [
"503uicglhjkokaajywfpt6ros", # AWS-GR_ENCRYPTED_VOLUMES
...
],
organizational_unit_ids = ["ou-1111-11111111", "ou-2222-22222222"...],
},
{
control_names = [
"50z1ot237wl8u1lv5ufau6qqo", # AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED
...
],
organizational_unit_ids = ["ou-1111-11111111"...],
},
]
controls_with_params = [
{
control_names = [
{ "7mo7a2h2ebsq71l8k6uzr96ou" = { # CT.S3.PV.5
parameters = {
"ExemptedPrincipalArns" : ["arn:aws:iam::*:role/RoleName"],
"ExemptedResourceArns" : [],
}
} },
{ "dvhe47fxg5o6lryqrq9g6sxg4" = { # CT.SECRETSMANAGER.PV.1
parameters = {
"ExemptedPrincipalArns" : ["arn:aws:iam::*:role/RoleName"],
}
} },
...
],
organizational_unit_ids = ["ou-1111-11111111"...]
},
{
control_names = [
{ "dvuaav61i5cnfazfelmvn9m6k" = { # AWS-GR_DISALLOW_CROSS_REGION_NETWORKING
parameters = {
"ExemptedPrincipalArns" : ["arn:aws:iam::*:role/RoleName"],
}
} },
{ "41ngl8m5c4eb1myoz0t707n7h" = { # AWS-GR_DISALLOW_VPC_INTERNET_ACCESS
parameters = {
"ExemptedPrincipalArns" : ["arn:aws:iam::*:role/RoleName"],
}
} },
...
],
organizational_unit_ids = ["ou-2222-22222222"...]
}
]
```
**IAM ロールの最小特権**
このパターンでは、管理アカウントで IAM ロールを引き受ける必要があります。一時的な権限を持つロールを割り当て、最小特権の原則に従って権限を制限するのがベストプラクティスです。次のサンプルポリシーでは、 AWS Control Tower コントロールを有効または無効にするために必要な最小限のアクションを許可します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"controltower:EnableControl",
"controltower:DisableControl",
"controltower:GetControlOperation",
"controltower:ListEnabledControls",
"organizations:AttachPolicy",
"organizations:CreatePolicy",
"organizations:DeletePolicy",
"organizations:DescribeOrganization",
"organizations:DetachPolicy",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListPoliciesForTarget",
"organizations:ListRoots",
"organizations:UpdatePolicy"
],
"Resource": "*"
}
]
}
```