2020 年 1 月~ 12 月 - AWS Control Tower
AWS Control Tower コンソールが外部 AWS Config ルールにリンクするようになりましたAWS Control Tower が追加のリージョンで利用可能になりましたガードレールの更新AWS Control Tower コンソールに OU とアカウントの詳細が表示されますAWS Control Tower を使用して で新しいマルチアカウント AWS 環境をセットアップする AWS OrganizationsAWS Control Tower ソリューションのカスタマイズAWS Control Tower バージョン 2.3 の一般提供 AWS Control Tower でのシングルステップのアカウントプロビジョニング AWS Control Tower の廃止ツールAWS Control Tower のライフサイクルイベント通知

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2020 年 1 月~ 12 月

2020 年、AWS Control Tower は次の更新をリリースしました。

AWS Control Tower コンソールが外部 AWS Config ルールにリンクするようになりました

2020 年 12 月 29 日

(AWS Control Tower のランディングゾーンをバージョン 2.6 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください。)

AWS Control Tower には、外部 AWS Config ルールの検出に役立つ組織レベルのアグリゲータが含まれるようになりました。これにより、AWS Control Tower コンソールで可視性が得られ、AWS Control Tower によって作成された AWS Config ルールに加えて、外部で作成された AWS Config ルールの存在を確認できます。アグリゲータを使用すると、AWS Control Tower は外部ルールを検出し、AWS Control Tower が管理されていないアカウントにアクセスすることなく、 AWS Config コンソールへのリンクを提供できます。

この機能により、アカウントに適用される検出コントロールの統合ビューが作成され、コンプライアンスを追跡し、アカウントに追加のコントロールが必要かどうかを判断できるようになりました。詳細については、「AWS Control Tower が管理されていない OU とアカウントで AWS Config ルールを集約する方法 OUs」を参照してください。

AWS Control Tower が追加のリージョンで利用可能になりました

2020 年 11 月 18 日

(AWS Control Tower のランディングゾーンをバージョン 2.5 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください。)

AWS Control Tower が 5 つの追加 AWS リージョンで利用可能になりました。

  • アジアパシフィック (シンガポール) リージョン

  • 欧州 (フランクフルト) リージョン

  • 欧州 (ロンドン) リージョン

  • 欧州 (ストックホルム) リージョン

  • カナダ (中部) リージョン

これらの 5 AWS リージョンの追加は、AWS Control Tower のバージョン 2.5 で導入された唯一の変更です。

AWS Control Tower は、米国東部 (バージニア北部) リージョン、米国東部 (オハイオ) リージョン、米国西部 (オレゴン) リージョン、欧州 (アイルランド) リージョン、アジアパシフィック (シドニー) リージョンでも利用できます。このリリースにより、AWS Control Tower が 10 AWS リージョンで利用可能になりました。

このランディングゾーンの更新には、リストされているすべてのリージョンが含まれており、元に戻すことはできません。ランディングゾーンをバージョン 2.5 に更新したら、AWS Control Tower に登録されているすべてのアカウントを手動で更新して、サポートされている 10 の AWS リージョンで管理する必要があります。詳細については、「AWS Control Tower リージョンの設定」を参照してください。

ガードレールの更新

2020 年 10 月 8 日

(AWS Control Tower ランディングゾーンの更新は不要です)

必須コントロール AWS-GR_IAM_ROLE_CHANGE_PROHIBITED の更新バージョンがリリースされました。

AWS Control Tower に自動的に登録されるアカウントは AWSControlTowerExecution ロールを有効にする必要があるため、コントロールのこの変更が必要になります。コントロールの以前のバージョンでは、このロールは作成されません。

詳細については、AWS Control Tower によって設定された AWS IAM ロールの変更を禁止するおよびAWS Control Tower コントロールリファレンスガイドの AWS CloudFormation「AWS Control Tower コントロールリファレンスガイド」を参照してください。

AWS Control Tower コンソールに OU とアカウントの詳細が表示されます

2020 年 7 月 22 日

(AWS Control Tower ランディングゾーンの更新は不要です)

AWS Control Tower に登録されていない組織およびアカウントを、登録されている組織およびアカウントと共に表示できます。

AWS Control Tower コンソールでは、 AWS アカウントと組織単位 (OUsの詳細を表示できます。[Accounts] (アカウント) ページには、AWS Control Tower での OU や 登録のステータスに関係なく、組織内のすべてのアカウントが一覧表示されるようになりました。すべてのテーブルで検索、並べ替え、フィルタリングを実行できるようになりました。

AWS Control Tower を使用して で新しいマルチアカウント AWS 環境をセットアップする AWS Organizations

2020 年 4 月 22 日

(AWS Control Tower ランディングゾーンの更新は不要です)

AWS Organizations のお客様は、AWS Control Tower を使用して、新しく作成された組織単位 (OUsとアカウントを管理できるようになりました。

  • 既存の AWS Organizations お客様は、既存の管理アカウントで新しい組織単位 (OUs用の新しいランディングゾーンを設定できるようになりました。AWS Control Tower で新しい OU を作成し、AWS Control Tower ガバナンスを使用して OU に新しいアカウントを作成できます。

  • AWS Organizations のお客様は、アカウント登録プロセスまたはスクリプティングを使用して、既存のアカウントを登録できます。

AWS Control Tower は、他の サービスを使用するオーケストレーション AWS サービスを提供します。これは、新規または既存のマルチアカウント AWS 環境を設定し、大規模に管理するための最も簡単な方法を探している複数のアカウントとチームを持つ組織向けに設計されています。AWS Control Tower によって管理されている組織では、クラウド管理者は、組織内のアカウントが確立されたポリシーに準拠していることを知っています。ビルダーは、コンプライアンスについて過度に懸念することなく、新しい AWS アカウントを迅速にプロビジョニングできるため、メリットがあります。

ランディングゾーンの設定の詳細については、「AWS Control Tower ランディングゾーンの計画」を参照してください。また、AWS Control Tower 製品のウェブページにアクセスするか YouTube 、 用 AWS Control Tower の開始方法 AWS Organizationsに関するこの動画をご覧ください。

この変更に加えて、AWS Control Tower のクイックアカウントプロビジョニング機能の名前がアカウントの登録に変更されました。既存の AWS アカウントの登録と新しいアカウントの作成を許可するようになりました。詳細については、「既存のアカウントを登録する」を参照してください。

AWS Control Tower ソリューションのカスタマイズ

2020 年 3 月 17 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower には、カスタムテンプレートおよびポリシーを AWS Control Tower ランディングゾーンに簡単に適用できる新しいリファレンス実装が追加されました。

AWS Control Tower のカスタマイズでは、 AWS CloudFormation テンプレートを使用して、組織内の既存アカウントと新規アカウントに新しいリソースをデプロイできます。また、これらのアカウントには、AWS Control Tower によって既に提供されているサービスコントロールポリシー (SCP、Service Control Policies) に加えて、カスタム SCP を適用することもできます。AWS Control Tower パイプラインのカスタマイズは、リソースのデプロイとランディングゾーンの同期が保たれるように、AWS Control Tower のライフサイクルイベントおよび通知 (「AWS Control Tower でのライフサイクルイベント」) と統合されます。

この AWS Control Tower ソリューションアーキテクチャのデプロイドキュメントは、AWS Solutions ウェブページから入手できます。

AWS Control Tower バージョン 2.3 の一般提供

2020 年 3 月 5 日

(AWS Control Tower ランディングゾーンの更新が必要です。詳細については、「ランディングゾーンを更新する」を参照してください。)

AWS Control Tower が、米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (オレゴン)、欧州 (アイルランド) AWS の各リージョンに加えて、アジアパシフィック (シドニー) リージョンで利用可能になりました。アジアパシフィック (シドニー) リージョンの追加は、AWS Control Tower のバージョン 2.3 で導入された唯一の変更点です。

これまで AWS Control Tower を使用していなかった場合は、サポートされている任意のリージョンで今すぐ AWS Control Tower を起動できます。既に AWS Control Tower を使用していて、アカウントのアジアパシフィック (シドニー) リージョンにガバナンス機能を拡張する場合は、AWS Control Tower ダッシュボードの [Settings] (設定) ページに移動します。そこから、ランディングゾーンを最新リリースに更新します。そして、アカウントを個別に更新します。

注記

ランディングゾーンを更新しても、アカウントは自動的に更新されません。アカウントが数個以上ある場合は、必要な更新を行うのに時間がかかることがあります。そのため、ワークロードの実行を必要としないリージョンに AWS Control Tower ランディングゾーンを拡張することは避けてください。

新しいリージョンへのデプロイの結果として検出コントロールが予期される動作については、「AWS Control Tower リージョンを設定する」を参照してください。

AWS Control Tower でのシングルステップのアカウントプロビジョニング

2020 年 3 月 2 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower コンソールを使用したシングルステップのアカウントプロビジョニングをサポートするようになりました。この機能を使用すると、AWS Control Tower コンソール内から新しいアカウントをプロビジョニングできます。

簡略化された形式を使用するには、AWS Control Tower コンソールの [Account Factory] に移動し、[Quick account provisioning] (クイックアカウントプロビジョニング) を選択します。AWS Control Tower は、プロビジョニングされたアカウントとそのアカウントに作成された Single Sign-On (IAM Identity Center) ユーザーに同じ E メールアドレスを割り当てます。これら 2 つの E メールアドレスを異なるものにする必要がある場合は、Service Catalog を通じてアカウントをプロビジョニングする必要があります。

他のアカウントの更新と同様に、Service Catalog および AWS Control Tower Account Factory を使用して、クイックアカウントプロビジョニングで作成したアカウントを更新します。

注記

2020 年 4 月、クイックアカウントプロビジョニング機能の名前がアカウントの登録に変更されました。2022 年 6 月、AWS Control Tower コンソールでアカウントを作成および更新する機能は、 AWS アカウントを登録する機能とは分離されました。詳細については、「既存のアカウントを登録する」を参照してください。

AWS Control Tower の廃止ツール

2020 年 2 月 28 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower によって割り当てられたリソースのクリーンアップを支援する自動廃止ツールをサポートするようになりました。AWS Control Tower を企業で使用しなくなった場合、または組織のリソースに大幅な再デプロイが必要な場合は、ランディングゾーンを最初にセットアップしたときに作成されたリソースをクリーンアップすることができます。

ほぼ自動化されたプロセスを使用してランディングゾーンを廃止するには、 AWS Support に連絡して、必要な追加ステップについてサポートを依頼してください。廃止の詳細については、「チュートリアル: AWS Control Tower のランディングゾーンを廃止する」を参照してください。

AWS Control Tower のライフサイクルイベント通知

2020 年 1 月 22 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、ライフサイクルイベント通知が利用可能になりました。ライフサイクルイベントは、AWS Control Tower で作成および管理する組織単位 (OU)、アカウント、コントロールなどのリソースの状態を変更できる AWS Control Tower アクションの完了をマークします。ライフサイクルイベントは AWS CloudTrail イベントとして記録され、イベント EventBridge として Amazon に配信されます。

AWS Control Tower は、サービスを使用して実行できる次のアクションの完了時にライフサイクルイベントを記録します: ランディングゾーンの作成または更新、OU の作成または削除、OU でのコントロールの有効化または無効化、Account Factory を使用した新規アカウントの作成または別の OU へのアカウントの移動。

AWS Control Tower は、複数の AWS サービスを使用して、ベストプラクティスのマルチアカウント AWS 環境を構築および管理します。AWS Control Tower アクションが完了するまで数分かかることがあります。 CloudTrail ログでライフサイクルイベントを追跡して、発信元の AWS Control Tower アクションが正常に完了したかどうかを確認できます。がライフサイクルイベント CloudTrail を記録したときに通知したり、自動化ワークフローの次のステップを自動的にトリガーしたりする EventBridge ルールを作成できます。