ランディングゾーン設定に対する想定

AWS Control Tower ランディングゾーンをセットアップするプロセスには、複数のステップがあります。AWS Control Tower ランディングゾーンには設定可能な側面があります。それ以外の選択肢は、セットアップ後に変更できません。

セットアップ時に設定する主な項目

• セットアップ時に最上位の OU 名を選択できます。また、ランディングゾーンのセットアップ後に OU 名を変更することもできます。デフォルトでは、最上位の OU 名は [Security] (セキュリティ) と [Sandbox] (サンドボックス) です。詳細については、「アーキテクチャが適切に設計された環境をセットアップするためのガイドライン」を参照してください。

• セットアップ時に、AWS Control Tower がデフォルトで作成する共有アカウントの名前 (デフォルトではログアーカイブと監査) をカスタマイズできますが、セットアップ後はこれらの名前を変更できません (これは 1 回限りの選択です)。

• セットアップ時に、AWS Control Tower AWS の監査アカウントとログアーカイブアカウントとして使用する既存のアカウントをオプションで指定できます。 AWS 既存のアカウントを指定する予定で、 AWS Config それらのアカウントに既存のリソースがある場合は、アカウントを AWS Control Tower AWS Config に登録する前に既存のリソースを削除する必要があります。(これは 1 回限りの選択です)。

• 初めてセットアップする場合、またはlanding zone バージョン 3.0 にアップグレードする場合は、AWS Control Tower AWS CloudTrail に組織レベルのトレイルの設定を許可するか、AWS Control Tower が管理するトレイルをオプトアウトして自分でトレイルを管理するかを選択できます。 CloudTrail ランディングゾーンを更新するたびに、AWS Control Tower が管理する組織レベルの証跡をオプトインまたはオプトアウトできます。

• オプションで、ランディングゾーンを設定または更新する際、Amazon S3 ログバケットとログアクセスバケットにカスタマイズされた保持ポリシーを設定できます。

• オプションで、事前に定義したブループリントを指定して、AWS Control Tower コンソールでのカスタマイズされたメンバーアカウントのプロビジョニングに使用できます。使用できるブループリントがない場合は、後でアカウントをカスタマイズできます。Account Factory Customization (AFC) を使用したアカウントのカスタマイズ を参照してください。

元に戻すことができない設定の選択

• ランディングゾーンをセットアップした後で、ホームリージョンを変更することはできません。

• VPC で Account Factory アカウントをプロビジョニングしている場合、いったん作成した VPC CIDR を変更することはできません。