機能の比較既存の組織での AWS Control Tower の起動新しい組織での AWS Control Tower の起動

AWS Control Tower ランディングゾーンの計画

セットアッププロセスを完了すると、AWS Control Tower によって、ランディングゾーンと呼ばれる、アカウントに関連付けられたリソースが起動されます。このリソースは、組織とそのアカウントのホームとして機能します。

注記

組織ごとに 1 つのランディングゾーンをセットアップできます。

ランディングゾーン計画とセットアップ時に従うベストプラクティスについては、「AWS AWS Control Tower ランディングゾーンのマルチアカウント戦略」を参照してください。

AWS Control Tower をセットアップする方法

既存の組織に AWS Control Tower ランディングゾーンをセットアップすることも、AWS Control Tower ランディングゾーンが含まれる新しい組織を作成することから始めることもできます。

既存の組織での AWS Control Tower の起動: このセクションは、AWS Control Tower によるガバナンスを既存のに導入する AWS Organizations 準備ができているお客様を対象としています。
新しい組織での AWS Control Tower の起動: このセクションは、既存の AWS Organizations、OUs、およびアカウントがないお客様を対象としています。

注記

ラン AWS Organizations ディングゾーンがすでにある場合は、AWS Control Tower ガバナンスを既存のランディングゾーンから組織内の既存の OUs とアカウントの一部またはすべてに拡張できます。「既存の組織とアカウントの管理」を参照してください。

機能の比較

ここでは、AWS Control Tower を既存の組織に追加する場合と、AWS Control Tower ガバナンスを OU およびアカウントに拡張する場合の違いを簡単に比較します。また、 AWS ランディングゾーンソリューションから AWS Control Tower に移行する場合は、いくつかの特別な考慮事項が適用されます。

既存の組織への追加について: 既存の組織への AWS Control Tower の追加は、 AWS コンソール内で行うことができます。この場合、サービスで作成した組織を既に取得しており AWS Organizations 、その組織は現在 AWS Control Tower に登録されておらず、 の後にランディングゾーンを追加する必要があります。

既存の組織にランディングゾーンを追加すると、AWS Control Tower は AWS Organizations レベルで並列構造を設定します。既存の組織内の OU とアカウントは変更しません。

ガバナンスの拡張について: ガバナンスの拡張は既に AWS Control Tower に登録されている 1 つの組織内にある特定の OU とアカウントに適用されます。つまり、その組織にはランディングゾーンが既に存在していることになります。ガバナンスの拡張とは、登録済みの組織内にある特定の OU とアカウントに制約が適用されるように AWS Control Tower コントロールを拡張することです。この場合、新しいランディングゾーンを起動するのではなく、組織の現在のランディングゾーンを拡張するだけです。

重要

特別な考慮事項: 現在の AWS Landing Zone ソリューション (ALZ) を使用している場合は AWS Organizations、組織で AWS Control Tower を有効にする前に、 AWS ソリューションアーキテクトに確認してください。AWS Control Tower は、AWS Control Tower がランディングゾーンの現在のデプロイと干渉する可能性があるかどうかを判断する事前チェックを実行できません。詳細については、「チュートリアル: ALZ から AWS Control Tower に移行する」を参照してください。また、ランディングゾーン間でのアカウントの移動については、「アカウントが前提条件を満たしていない場合」を参照してください。

既存の組織での AWS Control Tower の起動

既存の組織に AWS Control Tower ランディングゾーンを設定することで、既存の AWS Organizations 環境と並行してすぐに作業を開始できます。内で作成された他の OUs AWS Organizations は、AWS Control Tower に登録されていないため変更されません。これらの OU とアカウントは、そのまま使用できます。

AWS Control Tower は、その管理アカウントとして既存の組織の管理アカウントを使用して統合を図ります。新しい管理アカウントは不要です。既存の管理アカウントから AWS Control Tower ランディングゾーンを起動できます。

注記

既存の組織で AWS Control Tower をセットアップするには、サービスの制限により、少なくとも 2 つの追加のアカウントの作成が許可されている必要があります。

AWS Control Tower を既存の組織に追加した場合の影響

AWS Control Tower は、組織に 2 つのアカウント (監査アカウントとログ記録アカウント) を作成します。これらのアカウントは、チームが行ったアクションの記録を個々のエンドユーザーアカウントに保持します。[Audit] (監査) アカウントと [Log archive] (ログアーカイブ) アカウントは、AWS Control Tower ランディングゾーン内の [Security] (セキュリティ) OU に表示されます。

ランディングゾーンを設定すると、AWS Control Tower によって追加されたアカウントは既存のの一部になり AWS Organizations、そのため、既存の組織の請求の一部になります。

機能の概要

既存の AWS Organizations 組織で AWS Control Tower を有効にすると、組織にいくつかの主要な機能強化が提供されます。

AWS Control Tower によって追加されたアカウントは既存の組織の一部になるため、組織のグループ全体で一括請求が可能になります。
これにより、OU の 1 つの管理アカウントからすべてのアカウントを管理できます。
また、既存のアカウントと新しいアカウントにセキュリティとコンプライアンスに関するコントロールを適用する方法がシンプルになります。

重要

既存の AWS Organizations 組織で AWS Control Tower ランディングゾーンを起動しても、AWS Control Tower ガバナンスをその組織から AWS Control Tower に登録されていない他の OUs またはアカウントに拡張することはできません。

既存の組織で AWS Control Tower を起動するには、「AWS Control Tower の使用開始方法」で説明されているプロセスに従います。

AWS Control Tower が既存の AWS Organizations 組織とやり取りする方法の詳細については、「」を参照してくださいAWS Control Tower で組織とアカウントを管理する。

新しい組織での AWS Control Tower の起動

AWS Control Tower を初めて使用する場合に、の使用をまだ行っていない場合は AWS Organizations、まずセットアップドキュメントを使用することが最善です。

AWS Control Tower は、組織がまだセットアップされていない場合には自動的にセットアップします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

管理者向けのベストプラクティス

ベストプラクティス: AWS マルチアカウントランディングゾーンを設定する