AWS オプトインリージョンをアクティブ化する際の注意事項 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS オプトインリージョンをアクティブ化する際の注意事項

ほとんどの AWS リージョン は に対してデフォルトでアクティブになっていますが AWS アカウント、特定のリージョンは手動で選択した場合にのみアクティブになります。このドキュメントでは、これらのリージョンをオプトインリージョンと呼んでいます。対照的に、 が作成されるとすぐに、デフォルトでアクティブになっているリージョン AWS アカウント は商用リージョン 、または単にリージョン と呼ばれます。

オプトインという用語には歴史的な根拠があります。2019 年 3 月 20 日以降に AWS リージョン 導入された は、オプトインリージョンと見なされます。オプトインリージョンには、オプトインリージョンでアクティブなアカウントを通じた IAM データの共有に関して、商用リージョンよりも高いセキュリティ要件があります。ユーザー、グループ、ロール、ポリシー、ID プロバイダー、関連データ (X.509 署名証明書やコンテキスト固有の認証情報など)、パスワードポリシーやアカウントエイリアスなどの他のアカウントレベルの設定を含む、IAM サービスを通じて管理されるすべてのデータは ID データと見なされます。

オプトインリージョンは、ランディングゾーン設定時に選択することで自動的にアクティブ化できます。ランディングゾーンは、選択したすべてのリージョンで有効になります。

AWS Control Tower ホームリージョンとしてオプトインリージョンを選択する場合は、 AWS マネジメントコンソールにサインインしたときに、リージョン https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enableを有効にする の手順に従って、最初にオプトインリージョンをアクティブ化します。オプトインリージョンから既存のログアーカイブアカウントと監査アカウントを取得するには、まずそのリージョンを手動でアクティブ化します。

AWS オプトインリージョンには、AWS Control Tower が利用可能な複数のリージョンが含まれています。

  • アジアパシフィック (香港) リージョン、ap-east-1

  • アジアパシフィック (ジャカルタ) リージョン、ap-southeast-3

  • 欧州 (ミラノ) リージョン、eu-south-1

  • アフリカ (ケープタウン) リージョン、af-south-1

  • 中東 (バーレーン) リージョン、me-south-1

  • イスラエル (テルアビブ)、il-central-1

  • 中東 (UAE) リージョン、me-central-1

  • 欧州 (スペイン) リージョン、eu-south-2

  • アジアパシフィック (ハイデラバード) リージョン、ap-south-2

  • 欧州 (チューリッヒ) リージョン、eu-central-2

  • アジアパシフィック (メルボルン) リージョン、(ap-southeast-4)

  • カナダ西部 (カルガリー) リージョン、ca-west-1

AWS Control Tower には、オプトインリージョンと商用リージョンでは動作が異なるコントロールがいくつかあります。詳細については、「コントロールの制限事項」を参照してください。オプトインリージョンにワークロードをデプロイする際に留意すべき点をいくつか紹介します。

管理かアクティブ化か?

リージョンの管理は、AWS Control Tower コンソールから選択できるアクションであり、リージョンでコントロールを適用できることに注意してください。オプトインリージョンをアクティブ化または非アクティブ化することは、 AWS コンソールで選択できるもう 1 つのアクションです。これにより、リージョンがアカウントで開かれ、そのリージョンにリソースとワークロードをデプロイできるようになります。

動作に関する注意事項

  • オプトインリージョンを管理する場合は、ワークロードの障害につながる可能性があるため、管理対象のオプトインリージョンを非アクティブ化(オプトアウト)しないことをお勧めします。AWS Control Tower では、AWS Control Tower コンソール内から管理対象リージョンを非アクティブ化することはできませんが、 AWS 請求コンソールや AWS SDK などの AWS Control Tower 外のソースから管理対象リージョンを非アクティブ化しないでください。

  • AWS Control Tower がガバナンスをオプトインリージョンに拡張すると、すべてのメンバーアカウントでそのリージョンがアクティブ化 (オプトイン) されます。リージョンを管理から削除しても、AWS Control Tower はメンバーアカウントのリージョンを非アクティブ化 (オプトアウト) しません。

  • リージョンの選択解除中、AWS Control Tower は、 AWS 請求コンソールや AWS SDK などの AWS Control Tower 外のソースからアカウントに対してそのリージョンを手動で非アクティブ化した場合、オプトインリージョンからのリソースの削除をスキップします。非アクティブ化したリージョンからはリソースを削除することをお勧めします。そうしないと、それらのリソースに対して予想外の請求が発生する可能性があります。

  • ランディングゾーンが廃止された場合、AWS Control Tower はオプトインリージョンを含むすべての管理対象リージョンのリソースをクリーンアップします。ただし、AWS Control Tower では、オプトインリージョンが非アクティブ化されません。廃止後の追加手順として、オプトインリージョンを非アクティブ化できます。

  • ホームリージョンがオプトインリージョンで、既存のアカウントをログアーカイブアカウントと監査アカウントとして登録する場合、オプトインリージョンをランディングゾーンのホームリージョンとして選択する前に、オプトインリージョンを手動でアクティブ化する必要があります。リージョンを有効にするを参照

  • AWS Control Tower がオプトインリージョンをホームリージョンとして設定されていて、他のリージョンの AWS コンソールから AWS Control Tower サービスにアクセスしても、コンソールはホームリージョンに自動的にリダイレクトしません。

  • 基盤となる API には容量制限があり、リージョンの数、アカウント数、サービスの負荷によっては、レイテンシーが数分から数時間に増加する可能性があります。ベストプラクティスとして、ワークロード AWS リージョン を実行する にのみオプトインし、一度に 1 つのリージョンをオプトインします。

管理とコントロールに関する重要な制限

  • オプトインリージョンでサポートされていない AWS Control Tower コントロールを現在有効にしている場合、そのリージョンでコントロールがサポートされるまで、そのオプトインリージョンに AWS Control Tower 管理を拡張することはできません。詳細については、コントロールの制限事項を参照してください。

  • 特定のコントロールがサポートされていないオプトインリージョンに AWS Control Tower 管理を拡張した場合、そのコントロールが AWS Control Tower で管理しているすべてのリージョンでサポートされるまで、どのリージョンでもそのコントロールを有効にすることはできません。詳細については、「コントロールの制限事項」を参照してください。

  • AWS Control Tower が利用可能な 22 の商用リージョンすべて (オプトインリージョンを含む) がアクティブ化されると、管理を組織単位 (OU) に拡大する際の組織単位 (OU) あたりのアカウント数の上限が引き下げられます。上限は 300 アカウントではなく 220 アカウントです。この減少は制限による StackSetものです。アカウント数が 220 を超える OU にガバナンスを拡大する必要がある場合は、有効になっているリージョンの数を減らしてください。