投稿日: Jul 29, 2022
AWS Control Tower では、ランディングゾーンバージョン 3.0 の一部として組織に対する AWS CloudTrail 使用したログ記録機能が提供されるようになりました。この新機能により、組織レベルの AWS CloudTrail 証跡が組織の管理アカウントにデプロイされ、組織内のすべてのメンバーアカウントのアクションが自動的に記録されます。AWS Control Tower が管理するアカウントすべてに対してログ記録が設定されていることを確認する必須の検出ガードレール以外に、AWS Control Tower はログ記録のパラメータを設定しません。組織に対するログ記録機能を備えた AWS Control Tower は、統合されたアカウントログ記録に関する最新のスタンダードとベストプラクティスをユーザーに提供します。
アカウントの証跡記録に加えて、組織の証跡記録が導入されることにより、サポート対象が拡大しました。ユーザーは、新規インストール中、または更新/修復プロセス中に、組織の証跡記録の機能をオプションで有効または無効にできます。これにより、追加の AWS CloudTrail 要件を持つお客様は、ログ集計を複製することなく、独自の証跡をプロビジョニングできます。この機能はオプションなので、AWS Control Tower に移行するお客様が柔軟に利用できます。お客様は、既存の CloudTrail ソリューションをそのまま維持し、最初のランディングゾーンのデプロイ後に AWS Control Tower の組織に対するログ記録を有効にできます。オプションで AWS Control Tower を使用して組織全体を管理していないお客様には、CloudTrail の重複を防ぐために、AWS Control Tower メンバー以外のアカウントのアカウント証跡記録を無効にすることをお勧めします。
AWS Control Tower は、新しくセキュアなマルチアカウントの AWS 環境を、AWS ベストプラクティスに基づいてセットアップおよび管理するための最も簡単な方法を提供します。サポートされている AWS リージョンで、お客様は、AWS Control Tower の Account Factory を使用して新アカウントを作成して、ガードレール、ログ記録とモニタリングの一元化などのガバナンス機能を有効にします。詳細については、AWS Control Tower ホームページにアクセスするか、AWS Control Tower ユーザーガイドをご参照ください。AWS Control Tower が利用可能な AWS リージョンの一覧は、AWS リージョン表を参照してください。