AWS Control Tower
ユーザーガイド

AWS Control Tower での設定更新管理

Landing Zone を更新された状態に維持するのは、中央のクラウド管理者のメンバーの責任です。Landing Zone を更新することにより、AWS Control Tower はパッチが適用され、更新された状態で維持されます。さらに、潜在的なコンプライアンスの問題から Landing Zone を保護するために、中央のクラウド管理者チームのメンバーは、ドリフトの問題が検出され、報告されたらすぐに解決する必要があります。

ランディングゾーンの更新

以下の手順は、Landing Zone を更新するためのステップについて説明します。

注記

AWS Control Tower コンソールは、Landing Zone を更新する必要があるときを示します。更新するオプションが表示されていない場合、Landing Zone はすでに最新です。

Landing Zone を更新するには

  1. ウェブブラウザを開いて、https://us-west-2.console.aws.amazon.com/controltower/home/update の AWS Control Tower コンソールに移動します。

  2. ウィザードの情報を確認し、[更新] を選択します。これにより、Landing Zone のバックエンドおよび共有アカウントが更新されます。このプロセスには 1 時間と少しかかる可能性があります。

  3. メンバーアカウントを更新します。ナビゲーションペインで、[アカウント] を選択します。

  4. [Provision new account (新しいアカウントをプロビジョニングする)] を選択して AWS Service Catalog コンソールと Account Factory 製品を開きます。

  5. ナビゲーションペインで、[Provisioned products list (プロビジョニング済み製品リスト)] を選択します。

  6. 一覧表示されているアカウントごとに以下の手順を実行して、すべてのメンバーアカウントを更新します。

    1. アカウントのメニューから [プロビジョニングされた製品の詳細] を選択します。

    2. 以下のパラメータを書き留めます。

      • SSOUserEmail

      • AccountEmail

      • SSOUserFirstName

      • SSOUSerLastName

      • AccountName

    3. [アクション] で、[更新] を選択します。

    4. 更新する製品の [バージョン] の隣にあるラジオボタンを選択して、[次へ] を選択します。

    5. 前に説明したパラメータ値を入力します。[ManagedOrganizationlUnit] には、アカウントがある OU を選択します。この情報は、AWS Control Tower コンソールの [アカウント] の下にあります。

    6. [次へ] を選択します。

    7. 変更内容を確認し、[更新] を選択します。このプロセスには、アカウントごとに数分かかることがあります。

ドリフトの解決

Landing Zone を作成するとき、Landing Zone とすべての OU、アカウント、リソースは、選択したガードレールにより適用されるすべてのガバナンスルールに準拠します。管理者およびユーザーが Landing Zone を使用するとき、このコンプライアンス状況に変更が発生する可能性があります。一部の変更は偶発的になされますが、時間的制約のある操作上のイベントに対応するために意図的になされる場合もあります。いずれにしても、変更によりコンプライアンスが複雑になる可能性があります。

変更や設定の更新が必要なリソースを識別するドリフト検出を使用して、ドリフトを解決できます。ドリフトの解決は、ガバナンス規制の遵守に役立ち、マスターアカウント管理者の通常のオペレーションタスクです。詳細については、「AWS Control Tower でのドリフトの検出および解決」を参照してください。