投稿日: Sep 1, 2022
AWS Control Tower をお使いのお客様は、コントロール (ガードレールともいいます) を、プログラムを使って組織全体で大規模に管理できるようになりました。AWS Control Tower ライブラリで提供されているアプリケーションステータスのコントロールを、プログラムを使って有効化、無効化したり、閲覧したりすることが可能になりました。Control API には AWS CloudFormation のサポートが含まれ、AWS リソースを Infrastructure as Code (IaC) として管理することを可能にしています。AWS Control Tower では予防的コントロールと発見的コントロールが提供されており、これを使用することでユーザーは組織単位 (OU) 全体と OU 内の各 AWS アカウントにポリシーの目的を表明することができます。これらのルールは、ユーザーが新規アカウントを作成したり既存アカウントを変更したりした後も有効に存続します。
これらの API を呼び出すには、ユーザーは、対象とするガードレールのコントロール Amazon リソースネーム (ARN) と、対象とする組織単位 (OU) に関連付けられた ARN について理解している必要があります。
- EnableControl - この API 呼び出しはコントロールをアクティブにします。非同期オペレーションを開始し、指定された組織単位とそこに含まれるアカウントに AWS リソースを作成します。
- DisableControl - この API 呼び出しはコントロールをオフにします。非同期オペレーションを開始し、指定された組織単位とそこに含まれるアカウントにある AWS リソースを削除します。
- GetControlOperation - 特定の EnableControl または DisableControl オペレーションのステータスを返します。
- ListEnabledControls - 指定された組織単位とそこに含まれるアカウント上の、AWS Control Tower が有効化したコントロールを一覧表示します。
オプションのガードレールのコントロール名一覧については、AWS Control Tower ユーザーガイドの Resource identifiers for APIs and guardrails (API とガードレールのリソース識別子) を参照してください。AWS Control Tower をご利用いただける AWS リージョンの一覧については、AWS リージョン表を参照してください。