翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower コンソールからカスタマイズする
ランディングゾーンに対して以下のカスタマイズを行うには、AWS Control Tower コンソールで指定される手順に従います。
セットアップ時にカスタマイズした名前を選択する
-
セットアップ時に最上位の OU 名を選択できます。 AWS Organizations コンソールを使用していつでも OUs の名前を変更できますが、 で OUs を変更すると、修復可能なドリフトが発生する AWS Organizations 可能性があります。
-
共有の [Audit] (監査) および [Log Archive] (ログアーカイブ) アカウントの名前を選択できますが、セットアップ後に名前を変更することはできません (これは 1 回限りの選択です)。
ヒント
で OU の名前を変更 AWS Organizations しても、Account Factory の対応するプロビジョニング済み製品は更新されないことに注意してください。プロビジョニングされた製品を自動的に更新し、ドリフトを回避するには、OU の作成、削除、再登録などの OU の操作を、AWS Control Tower から実行する必要があります。
AWS リージョンの選択
-
ガバナンスの特定の AWS リージョンを選択することで、ランディングゾーンをカスタマイズできます。AWS Control Tower コンソールの手順に従います。
-
ランディングゾーンを更新するときに、ガバナンスの AWS リージョンを選択または選択解除できます。
-
リージョン拒否コントロールを有効または無効に設定し、管理されていない AWS リージョンのほとんどの AWS サービスへのユーザーアクセスを制御できます。
CfCT にデプロイの制限 AWS リージョン がある場所については、「」を参照してくださいコントロールの制限事項。
オプションのコントロールを追加してカスタマイズする
-
強く推奨されるコントロールと選択的コントロールはオプションです。つまり、どのコントロールを有効にするかを選択することで、ランディングゾーンのエンフォースメントレベルをカスタマイズできます。オプションのコントロールはデフォルトでは有効になっていません。
-
オプションのデータレジデンシーコントロールでは、データを保存し、アクセスを許可するリージョンをカスタマイズできます。
-
統合された Security Hub スタンダードに含まれているオプションのコントロールにより、AWS Control Tower 環境をスキャンしてセキュリティリスクをチェックできます。
-
オプションのプロアクティブコントロールを使用すると、プロビジョニング前に AWS CloudFormation リソースをチェックして、新しいリソースが環境のコントロール目標に準拠していることを確認できます。
AWS CloudTrail 証跡をカスタマイズする
-
ランディングゾーンをバージョン 3.0 以降に更新する場合、AWS Control Tower によって管理される組織レベルの CloudTrail 証跡をオプトインするかオプトアウトするかを選択できます。この選択は、ランディングゾーンを更新するたびに変更できます。AWS Control Tower は管理アカウントに組織レベルの証跡を作成し、その証跡のステータスはユーザーの選択に基づいてアクティブまたは非アクティブのどちらかになります。ランディングゾーン 3.0 は、アカウントレベルの CloudTrail 証跡をサポートしていません。ただし、これらが必要な場合は、独自の証跡を設定および管理できます。証跡が重複すると、追加料金が発生する場合があります。
コンソールでカスタマイズされたメンバーアカウントを作成する
-
AWS Control Tower コンソールから、カスタマイズされた AWS Control Tower メンバーアカウントを作成したり、既存のメンバーアカウントを更新してカスタム設定を追加したりできます。詳細については、「Account Factory Customization (AFC) を使用したアカウントのカスタマイズ」を参照してください。
