AWS Control Tower ランディングゾーンの計画 - AWS Control Tower

AWS Control Tower ランディングゾーンの計画

セットアッププロセスを完了すると、AWS Control Tower によって、ランディングゾーンと呼ばれる、アカウントに関連付けられたリソースが起動されます。このリソースは、組織とそのアカウントのホームとして機能します。

注記

組織ごとに 1 つのランディングゾーンをセットアップできます。

ランディングゾーン計画とセットアップ時に従うベストプラクティスについては、「AWS Control Tower ランディングゾーンに対する AWS マルチアカウント戦略」を参照してください。

AWS Control Tower をセットアップする方法

既存の組織に AWS Control Tower ランディングゾーンをセットアップすることも、AWS Control Tower ランディングゾーンが含まれる新しい組織を作成することから始めることもできます。

注記

既に AWS Organizations ランディングゾーンを導入している場合は、AWS Control Tower ガバナンスを既存のランディングゾーンから組織内の既存の OU およびアカウントの一部または全部に拡張できます。「既存の組織とアカウントの管理」を参照してください。

機能の比較

ここでは、AWS Control Tower を既存の組織に追加する場合と、AWS Control Tower ガバナンスを OU およびアカウントに拡張する場合の違いを簡単に比較します。また、AWS ランディングゾーンソリューションから AWS Control Tower に移行する場合には、特別な考慮事項があります。

既存の組織への追加について: 既存の組織への AWS Control Tower の追加は、AWS コンソール内で行うことができます。この場合、AWS Organizations サービスで作成した組織を既に取得しているものの、まだ AWS Control Tower に登録していないため、後でランディングゾーンを追加しようとしているところです。

既存の組織にランディングゾーンを追加すると、AWS Control Tower が AWS Organizations レベルで並列構造をセットアップします。既存の組織内の OU とアカウントは変更しません。

ガバナンスの拡張について: ガバナンスの拡張は既に AWS Control Tower に登録されている 1 つの組織内にある特定の OU とアカウントに適用されます。つまり、その組織にはランディングゾーンが既に存在していることになります。ガバナンスの拡張とは、登録済みの組織内にある特定の OU とアカウントに制約が適用されるように AWS Control Tower ガードレールを拡張することです。この場合、新しいランディングゾーンを起動するのではなく、組織の現在のランディングゾーンを拡張するだけです。

重要

特別な考慮事項: AWS Organizations 向けの AWS ランディングゾーンソリューション (ALZ) を現在使用している場合は、組織で AWS Control Tower を有効にする前に、AWS ソリューションアーキテクトに問い合わせてください。AWS Control Tower は、AWS Control Tower がランディングゾーンの現在のデプロイと干渉する可能性があるかどうかを判断する事前チェックを実行できません。詳細については、「チュートリアル: ALZ から AWS Control Tower に移行する」を参照してください。また、ランディングゾーン間でのアカウントの移動については、「アカウントが前提条件を満たしていない場合」を参照してください。

既存の組織での AWS Control Tower の起動

既存の組織に AWS Control Tower ランディングゾーンをセットアップすると、既存の AWS Organizations 環境と並行して、すぐに作業を開始できます。AWS Organizations 内に作成された他の OU は、AWS Control Tower に登録されていないため変更されません。これらの OU とアカウントは、そのまま使用できます。

AWS Control Tower は、その管理アカウントとして既存の組織の管理アカウントを使用して統合を図ります。新しい管理アカウントは不要です。既存の管理アカウントから AWS Control Tower ランディングゾーンを起動できます。

注記

既存の組織で AWS Control Tower をセットアップするには、サービスの制限により、少なくとも 2 つの追加のアカウントの作成が許可されている必要があります。

AWS Control Tower を既存の組織に追加した場合の影響

AWS Control Tower は、組織に 2 つのアカウント (監査アカウントとログ記録アカウント) を作成します。これらのアカウントは、チームが行ったアクションの記録を個々のユーザーアカウントに保持します。[Audit] (監査) アカウントと [Log archive] (ログアーカイブ) アカウントは、AWS Control Tower ランディングゾーン内の [Security] (セキュリティ) OU に表示されます。

ランディングゾーンをセットアップすると、AWS Control Tower によって追加されたアカウントが既存の AWS Organizations の一部になり、そのため既存の組織の請求対象に含まれるようになります。

機能の概要

既存の AWS Organizations 組織で AWS Control Tower を有効にすると、組織にいくつかの主要な拡張機能が提供されます。

  • AWS Control Tower によって追加されたアカウントは既存の組織の一部になるため、組織のグループ全体で一括請求が可能になります。

  • これにより、OU の 1 つの管理アカウントからすべてのアカウントを管理できます。

  • また、既存のアカウントと新しいアカウントにセキュリティとコンプライアンスに関するガードレールを適用する方法がシンプルになります。

重要

既存の AWS Organizations 組織で AWS Control Tower ランディングゾーンを起動しても、AWS Control Tower ガバナンスをその組織から、AWS Control Tower に未登録の他の OU またはアカウントに拡張することはできません。

既存の組織で AWS Control Tower を起動するには、「AWS Control Tower の使用開始方法」で説明されているプロセスに従います。

AWS Control Tower が既存の AWS Organizations とやり取りする方法の詳細については、「組織とアカウントで AWS Control Tower を有効にする」を参照してください。

新しい組織での AWS Control Tower の起動

AWS Control Tower を新規に使用し、AWS Organizations を使用したことがない場合は、「セットアップ」を参照することをお勧めします。

AWS Control Tower は、組織がまだセットアップされていない場合には自動的にセットアップします。