AWS Control Tower で AWS リージョンを使用する方法 - AWS Control Tower

AWS Control Tower で AWS リージョンを使用する方法

現在、AWS Control Tower は次の AWS リージョンでサポートされています。

  • 米国東部(バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (オレゴン)

  • カナダ (中部) リージョン

  • アジアパシフィック (シドニー)

  • アジアパシフィック (シンガポール) リージョン

  • 欧州 (フランクフルト) リージョン

  • 欧州 (アイルランド)

  • 欧州 (ロンドン) リージョン

  • 欧州 (ストックホルム) リージョン

  • アジアパシフィック (ムンバイ) リージョン

  • アジアパシフィック (ソウル) リージョン

  • アジアパシフィック (東京) リージョン

  • 欧州 (パリ) リージョン

  • 南米 (サンパウロ) リージョン

ホームリージョンについて

ランディングゾーンを作成すると、AWS マネジメントコンソールへのアクセスに使用しているリージョンが AWS Control Tower のホーム AWS リージョンになります。作成プロセス中に、一部のリソースがホームリージョンにプロビジョニングされます。その他のリソース (OU や AWS アカウント) はグローバルです。

いったん選択したホームリージョンは変更できません。

ガードレールとリージョン

現在、予防ガードレールはすべてグローバルに使用できます。一方、検出ガードレールは AWS Control Tower がサポートされているリージョンでのみ機能します。新しいリージョンで AWS Control Tower を有効にした場合のガードレールの動作の詳細については、「AWS Control Tower リージョンの設定」を参照してください。

AWS Control Tower リージョンの設定

このセクションでは、AWS Control Tower ランディングゾーンを新しい AWS リージョンに拡張するときやランディングゾーン設定からリージョンを削除するときに想定される動作について説明します。このアクションは通常、AWS Control Tower コンソールの [Update] (更新) 機能を使用して実行します。

注記

ワークロードの実行を必要としない AWS リージョンに AWS Control Tower ランディングゾーンを拡張しないでください。リージョンをオプトアウトしても、そのリージョンへのリソースのデプロイを阻止できませんが、デプロイしたリソースは AWS Control Tower によって管理されません。

新しいリージョンの設定時に、AWS Control Tower はランディングゾーンを更新します。つまり、ランディングゾーンをベースラインとして次のことを行います。

  • 新たに選択されたすべてのリージョンでアクティブに動作します。

  • 選択解除されたリージョンのリソースの管理を停止します。

AWS Control Tower が管理する組織単位 (OU) 内の個々のアカウントは、このランディングゾーンの更新プロセスの一環として更新されません。そのため、OU を再登録してアカウントを更新する必要があります。

AWS Control Tower リージョンを設定するときは、次のレコメンデーションと制限事項に注意してください。

  • AWS リソースまたはワークロードをホストするリージョンを選択します。

  • リージョンをオプトアウトしても、そのリージョンへのリソースのデプロイを阻止できませんが、デプロイしたリソースは AWS Control Tower によって管理されません。

新しいリージョンのランディングゾーンを設定するときに、AWS Control Tower 検出ガードレールは次のルールに従います。

  • 既存のものに変更はありません。検出ガードレールでも予防ガードレールでも、その動作は、既存のリージョンの既存のアカウント、既存の OU のアカウントでは変わりません。

  • 更新されていないアカウントが含まれている既存の OU に新しい検出ガードレールを適用することはできません。新しいリージョンに AWS Control Tower ランディングゾーンを設定したら (ランディングゾーンを更新することによって)、既存の OU および既存のアカウントで新しい検出ガードレールを有効にする前に、既存の OU で必ず既存のアカウントを更新してください。

  • 既存の検出ガードレールは、アカウントを更新するとすぐに新しく設定したリージョンで機能し始めます。AWS Control Tower ランディングゾーンを更新して新しいリージョンを設定し、アカウントを更新すると、OU で既に有効になっている検出ガードレールが、新しく設定したリージョン内のそのアカウントで機能し始めます。

AWS Control Tower リージョンの設定

  1. https://console.aws.amazon.com/controltower で AWS Control Tower コンソールにサインインします。

  2. 左ペインのナビゲーションメニューで、[Landing zone settings] (ランディングゾーン設定) を選択します。

  3. [Landing zone settings] (ランディングゾーン設定) ページの [Details] (詳細) セクションで、右上の [Modify settings] (設定を変更する) ボタンを選択します。ランディングゾーン更新ワークフローに移動します。新しいリージョンを管理したり、リージョンを管理対象から除外したりするには、最新のランディングゾーンバージョンに更新する必要があるためです。

  4. [Additional AWS Regions for governance] (追加で管理対象とする AWS リージョン) で、管理対象とする (または管理を停止する) リージョンを検索します。[State] (状態) 列に、現在管理対象となっているリージョンと管理対象になっていないリージョンが表示されます。

  5. 追加で管理対象とする各リージョンのチェックボックスをオンにします。管理対象から除外する各リージョンのチェックボックスをオフにします。

    注記

    リージョンを管理対象にしないことにした場合、引き続きそのリージョンにリソースをデプロイできますが、そのリソースは AWS Control Tower の管理対象外になります。

  6. 残りのワークフローを完了し、[Update landing zone] (ランディングゾーンの更新) を選択します。

  7. ランディングゾーンのセットアップが完了したら、OU を再登録して新しいリージョンのアカウントを更新します。詳細については、「既存の OU とアカウントの更新」を参照してください。

新しいリージョンの設定後に個々のアカウントをプロビジョニングまたは更新するには、AWS Service Catalog の API フレームワークAWS CLI を使用してバッチ処理でアカウントを更新するという方法もあります。詳細については、「自動化によるアカウントのプロビジョニングと更新」を参照してください。