AWS リージョンと AWS Control Tower の連携方法 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS リージョンと AWS Control Tower の連携方法

現在、AWS Control Tower は以下の AWS リージョンでサポートされています。

  • 米国東部 (バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (オレゴン)

  • カナダ (中部)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (シンガポール)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (ストックホルム)

  • アジアパシフィック(ムンバイ)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (東京)

  • 欧州 (パリ)

  • 南米 (サンパウロ)

  • 米国西部(北カリフォルニア)

  • アジアパシフィック (香港)

  • アジアパシフィック (ジャカルタ)

  • アジアパシフィック (大阪)

  • 欧州 (ミラノ)

  • アフリカ (ケープタウン)

  • 中東 (バーレーン)

  • イスラエル (テルアビブ)

  • 中東 (アラブ首長国連邦)

  • 欧州 (スペイン)

  • アジアパシフィック (ハイデラバード)

  • 欧州 (チューリッヒ)

  • アジアパシフィック (メルボルン)

  • カナダ西部 (カルガリー)

ホームリージョンについて

ランディングゾーンを作成すると、 AWS マネジメントコンソールへのアクセスに使用しているリージョンが AWS Control Tower のホーム AWS リージョンになります。作成プロセス中に、一部のリソースがホームリージョンにプロビジョニングされます。OUs や AWS アカウントなどの他のリソースはグローバルです。

いったん選択したホームリージョンは変更できません。

コントロールとリージョン

現在、予防コントロールはすべてグローバルに使用できます。一方、検出およびプロアクティブコントロールは、AWS Control Tower がサポートされているリージョンでのみ機能します。新しいリージョンで AWS Control Tower を有効にした場合のコントロールの動作の詳細については、「AWS Control Tower リージョンの設定」を参照してください。

AWS Control Tower リージョンの設定

このセクションでは、AWS Control Tower ランディングゾーンを新しい AWS リージョンに拡張したり、ランディングゾーン設定からリージョンを削除したりするときに想定される動作について説明します。このアクションは通常、AWS Control Tower コンソールの [Update] (更新) 機能を使用して実行します。

注記

ワークロードを実行する必要がない AWS リージョンに AWS Control Tower ランディングゾーンを拡張しないことをお勧めします。リージョンをオプトアウトしても、そのリージョンへのリソースのデプロイを阻止できませんが、デプロイしたリソースは AWS Control Tower によって管理されません。

新しいリージョンの設定時に、AWS Control Tower はランディングゾーンを更新します。つまり、ランディングゾーンをベースラインとして次のことを行います。

  • 新たに選択されたすべてのリージョンでアクティブに動作します。

  • 選択解除されたリージョンのリソースの管理を停止します。

AWS Control Tower が管理する組織単位 (OU) 内の個々のアカウントは、このランディングゾーンの更新プロセスの一環として更新されません。そのため、OU を再登録してアカウントを更新する必要があります。

AWS Control Tower リージョンを設定するときは、次のレコメンデーションと制限事項に注意してください。

  • AWS リソースまたはワークロードをホストする予定のリージョンを選択します。

  • リージョンをオプトアウトしても、そのリージョンへのリソースのデプロイを阻止できませんが、デプロイしたリソースは AWS Control Tower によって管理されません。

新しいリージョンのランディングゾーンを設定するときに、AWS Control Tower 検出コントロールは次のルールに従います。

  • 既存のものに変更はありません。検出ガードレールでも予防ガードレールでも、その動作は、既存のリージョンの既存のアカウント、既存の OU のアカウントでは変わりません。

  • 更新されていないアカウントが含まれている既存の OU に新しい検出コントロールを適用することはできません。新しいリージョンに AWS Control Tower ランディングゾーンを設定したら (ランディングゾーンを更新することによって)、既存の OU および既存のアカウントで新しい検出コントロールを有効にする前に、既存の OU で必ず既存のアカウントを更新してください。

  • 既存の検出コントロールは、アカウントを更新するとすぐに新しく設定したリージョンで機能し始めます。AWS Control Tower ランディングゾーンを更新して新しいリージョンを設定し、アカウントを更新すると、OU で既に有効になっている検出コントロールが、新しく設定したリージョン内のそのアカウントで機能し始めます。

AWS Control Tower リージョンの設定
  1. https://console.aws.amazon.com/controltower で AWS Control Tower コンソールにサインインします。

  2. 左ペインのナビゲーションメニューで、[Landing zone settings] (ランディングゾーン設定) を選択します。

  3. [Landing zone settings] (ランディングゾーン設定) ページの [Details] (詳細) セクションで、右上の [Modify settings] (設定を変更する) ボタンを選択します。ランディングゾーン更新ワークフローに移動します。新しいリージョンを管理したり、リージョンを管理対象から除外したりするには、最新のランディングゾーンバージョンに更新する必要があるためです。

  4. ガバナンス の追加 AWS リージョン で、管理するリージョンを検索します (または、管理を停止します)。[State] (状態) 列に、現在管理対象となっているリージョンと管理対象になっていないリージョンが表示されます。

  5. 追加で管理対象とする各リージョンのチェックボックスをオンにします。管理対象から除外する各リージョンのチェックボックスをオフにします。

    注記

    リージョンを管理対象にしないことにした場合、引き続きそのリージョンにリソースをデプロイできますが、そのリソースは AWS Control Tower の管理対象外になります。

  6. 残りのワークフローを完了し、[Update landing zone] (ランディングゾーンの更新) を選択します。

  7. ランディングゾーンのセットアップが完了したら、OU を再登録して新しいリージョンのアカウントを更新します。詳細については、「AWS Control Tower の OU とアカウントを更新する場合」を参照してください。

新しいリージョンの設定後に個々のアカウントをプロビジョニングまたは更新するには、Service Catalog の API フレームワークAWS CLI を使用してバッチ処理でアカウントを更新する方法もあります。詳細については、「自動化によるアカウントのプロビジョニングと更新」を参照してください。

リージョンを設定する際は混合ガバナンスを避ける

AWS Control Tower ガバナンスを新しい に拡張した後、およびリージョンから AWS Control Tower ガバナンスを削除した後 AWS リージョン、OU 内のすべてのアカウントを更新することが重要です。

混合ガバナンスは、OU を管理するコントロールが OU 内の各アカウントを管理するコントロールと完全に一致しない場合に発生する可能性のある望ましくない状況です。AWS Control Tower がガバナンスを新しい に拡張した後、またはガバナンスを削除した後にアカウントが更新されない場合 AWS リージョン、混合ガバナンスが OU で発生します。

このような状況では、OU 内の特定のアカウントが、OU 内の他のアカウントと比較されたり、ランディングゾーンの全体的なガバナンス体制と比較されたりすると、リージョンごとに異なるコントロールが適用されることがあります。

ガバナンスが混在している OU では、新しいアカウントをプロビジョニングすると、その新しいアカウントには、ランディングゾーンと同じ (更新された) リージョンと OU のガバナンス体制が適用されます。ただし、まだ更新されていない既存のアカウントには、更新されたリージョンガバナンス体制は適用されません。

一般に、混合ガバナンスでは、AWS Control Tower コンソールのステータスインジケータが矛盾したり不正確になったりすることがあります。たとえば、混合ガバナンスの場合、まだ更新されていないアカウントについては、登録済み OU のオプトインリージョンが「管理なし」ステータスで表示されます。

注記

AWS Control Tower は、混合ガバナンスの状態ではコントロールを有効にすることはできません。

混合ガバナンスにおけるコントロールの動作
  • 混合ガバナンス中、OU の一部のアカウントが更新されていないため、AWS Control Tower は、OU が既に管理対象として表示しているリージョンに、 AWS Config ルールに基づくコントロール (つまり、検出コントロール) を一貫してデプロイできません。FAILED_TO_ENABLE エラーメッセージが表示されることがあります。

  • 混合ガバナンスの場合、OU 内のアカウントがまだ更新されていない状態でランディングゾーンのガバナンスをオプトインリージョンに拡張すると、OU の EnableControl API 操作は検出および予防コントロールについては失敗します。OU 内の更新されていないメンバーアカウントはまだそれらのリージョンにオプトインされていないため、FAILED_TO_ENABLE エラーメッセージが表示されます。

  • 混合ガバナンスの場合、ランディングゾーンの設定と更新されていないアカウントが一致しないリージョンでは、Security Hub サービスマネージドスタンダード: AWS Control Tower の一部であるコントロールはコンプライアンスを正確に報告できません。

  • 混合ガバナンスによって SCP ベースのコントロール (予防コントロール) の動作が変わることはなく、すべての管理対象リージョンの OU 内のすべてのアカウントに一律に適用されます。

注記

混合ガバナンスはドリフトとは異なりますし、ドリフトとして報告されません。

混合ガバナンスを修復するには
  • コンソールの [組織] ページに [更新可能] ステータスが表示されている OU 内のアカウントごとに [アカウントの更新] を選択します。

  • アカウント数が 300 未満の OU については、[組織] ページで [OU の再登録] を選択します。これにより、OU 内のすべてのアカウントが自動的に更新されます。

OU レベルでのリージョン拒否コントロールに関する考慮事項

OU レベルのリージョン拒否コントロールの主な考慮事項は、両方がアクティブ化されている場合にランディングゾーンリージョン拒否コントロールとどのように相互作用するかを決定することです。詳細については、「OU に適用されるリージョン拒否コントロール」を参照してください。