AWS Control Tower の設定更新管理 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower の設定更新管理

ランディングゾーンを最新の状態に保つのは、中央クラウド管理者のチームのメンバーの責任です。ランディングゾーンを更新すると、AWSControl Tower にパッチが適用され、更新されます。さらに、潜在的なコンプライアンスの問題からランディングゾーンを保護するために、中央クラウド管理者のチームのメンバーは、ドリフトの問題が検出され、報告されたらすぐに解決する必要があります。

注記

AWS Control Tower コンソールには、ランディングゾーンを更新する必要があるタイミングが表示されます。更新するオプションが表示されていない場合、ランディングゾーンは既に最新です。

次の表に、AWSControl Tower ランディングゾーンの更新リリースのリストと、各リリースの説明へのリンクを示します。

ランディングゾーンを更新するたびに、ランディングゾーンの設定を変更する機会があります。

更新の利点
  • 管理対象リージョンを変更できる

  • ログの保持ポリシーを変更することができる

  • リージョン拒否コントロールを追加または削除できる

  • 暗号化キーを適用 AWS KMSできます。

  • 組織レベルの CloudTrail 証跡を有効または無効にできます。

  • ランディングゾーンのドリフトを解決できる

ランディングゾーンを更新すると、AWSControl Tower の最新機能が自動的に表示されます。[Landing zone settings] (ランディングゾーン設定) ページで現在のランディングゾーンのバージョンを確認してください。

更新が失敗した場合、AWSControl Tower は以前のランディングゾーンバージョンにロールバックしません。ランディングゾーンの状態が不確定である場合があります。その場合は、 AWS サポートにお問い合わせください。更新の失敗のトラブルシューティングの詳細については、「」を参照してくださいランディングゾーンを更新できない

ランディングゾーンを更新するときに、未使用の AWS アイデンティティセンター (以前は と呼ばれていました AWS SSO) のマッピングをクリアすることができます。詳細については、「フィールドノート: AWS Control Tower のアップグレード中に未使用の IAM Identity Center マッピングを自動的にクリアする」を参照してください。

更新とリセットの前提条件 — リクエスタ支払いをオフにする

ランディングゾーンを更新またはリセットする前に、ログアーカイブアカウントの Amazon S3 ログバケットでリクエスタ支払い機能が有効になっていないことを確認してください。更新またはリセットプロセスを開始する前に、この機能をオフにする必要があります。AWS Control Tower がログ記録バケットを設定すると、この機能は有効になっていません。したがって、この機能をオフにする必要があるのは、後でユーザーがリクエスタ支払い機能を有効にした場合のみです。詳細については、「 の Amazon S3 バケットポリシー CloudTrail」および「リクエスタ支払いバケットの使用」を参照してください。