翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower ランディングゾーンをセットアップするプロセスには、複数のステップがあります。AWS Control Tower ランディングゾーンには設定可能な側面があります。それ以外の選択肢は、セットアップ後に変更できません。
セットアップ時に設定する主な項目
-
セットアップ時に最上位の OU 名を選択できます。また、ランディングゾーンのセットアップ後に OU 名を変更することもできます。デフォルトでは、最上位の OU 名は [Security] (セキュリティ) と [Sandbox] (サンドボックス) です。詳細については、「アーキテクチャが適切に設計された環境をセットアップするためのガイドライン」を参照してください。
-
セットアップ時に、AWS Control Tower がデフォルトで作成する共有アカウントの名前 (デフォルトではログアーカイブと監査) をカスタマイズできますが、セットアップ後はこれらの名前を変更できません (これは 1 回限りの選択です)。
-
セットアップ時に、オプションで AWS Control Tower の既存の AWS アカウントを指定して、監査およびログアーカイブアカウントとして使用できます。既存の AWS アカウントを指定する予定で、それらのアカウントに既存の AWS Config リソースがある場合は、AWS Control Tower にアカウントを登録する前に既存の AWS Config リソースを削除する必要があります。(これは 1 回限りの選択です)。
-
を初めて設定する場合、またはランディングゾーンバージョン 3.0 にアップグレードする場合は、AWS Control Tower が組織の組織レベルの AWS CloudTrail 証跡を設定できるようにするか、AWS Control Tower によって管理される証跡をオプトアウトして独自の CloudTrail 証跡を管理するかを選択できます。ランディングゾーンを更新するたびに、AWS Control Tower が管理する組織レベルの証跡をオプトインまたはオプトアウトできます。
-
オプションで、ランディングゾーンを設定または更新する際、Amazon S3 ログバケットとログアクセスバケットにカスタマイズされた保持ポリシーを設定できます。
-
オプションで、事前に定義したブループリントを指定して、AWS Control Tower コンソールでのカスタマイズされたメンバーアカウントのプロビジョニングに使用できます。使用できるブループリントがない場合は、後でアカウントをカスタマイズできます。「Account Factory Customization (AFC) を使用したアカウントのカスタマイズ」を参照してください。
元に戻すことができない設定の選択
-
ランディングゾーンをセットアップした後で、ホームリージョンを変更することはできません。
-
VPC で Account Factory アカウントをプロビジョニングしている場合、いったん作成した VPC CIDR を変更することはできません。
