AWS環境設定に基づいて、AWS CloudTrailのクラウド検出の適切な展開方法を選択してください。
AWS CloudTrailのクラウド検出は、AWS accountの構成に応じて異なる展開オプションを提供します。お使いの環境に合った展開方法を選択してください。
標準シングルアカウント展開
単一のAWS accountを持っている場合、または複数のアカウントを管理するためにAWS Control Towerを使用していない場合は、このデプロイメントオプションを使用してください。
使用するタイミング:
-
AWS accountが1つあります
-
特定のアカウントのCloudTrailログをモニタしたい
-
AWS Control Towerを使用していません
デプロイメント方法: CloudFormationのみ (Terraformはサポートされていません)
セットアップ手順については、AWS CloudTrailのクラウド検出を有効にするを参照してください。
コントロールタワーの展開
複数のAWS accountsをAWS Control Towerで管理している場合は、このデプロイメントオプションを使用してください。Control Towerデプロイメントは、Control
Tower環境内のすべてのアカウントにわたる集中監視を提供します。
使用するタイミング:
-
複数のAWS accountsがAWS Control Towerを通じて管理されています
-
組織内のすべてのアカウントで集中管理された脅威の検出を希望します
-
複数のアカウントからCloudTrailログを一箇所でモニタする必要があります
利点:
-
Control Tower環境内のすべてのAWS accountsを単一の接続からモニタする
-
AWS全体の組織における脅威に対する集中可視性
-
マルチアカウント環境の簡易管理
Control Towerデプロイメントは2つの接続オプションを提供します。
- ログアーカイブアカウント接続
-
Control Towerがログを保存するAWSログアーカイブアカウントに直接接続します。これは最も一般的なControl Towerの展開方法です。セットアップ手順については、Control Tower (ログアーカイブアカウント) のクラウド検出を有効にするを参照してください。
- アカウント接続の監査
-
ログアーカイブアカウントからログを複製するAWS監査アカウントを通じて接続します。監査アカウントがログアーカイブアカウントからログをモニタし収集するように設定されている場合、このオプションを使用してください。セットアップ手順については、Control Tower (監査アカウント) のクラウド検出を有効にするを参照してください。
 |
注意Control TowerのデプロイにはCloudFormationが必要です。Control TowerのデプロイではTerraformはサポートされていません。
|