Control AWS Tower での AWS リージョンの仕組み - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Control AWS Tower での AWS リージョンの仕組み

現在、AWSControl Tower は次の AWS リージョンでサポートされています。

  • 米国東部 (バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (オレゴン)

  • カナダ (中部)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (シンガポール)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (ストックホルム)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (東京)

  • 欧州 (パリ)

  • 南米 (サンパウロ)

  • 米国西部 (北カリフォルニア)

  • アジアパシフィック (香港)

  • アジアパシフィック (ジャカルタ)

  • アジアパシフィック (大阪)

  • 欧州 (ミラノ)

  • アフリカ (ケープタウン)

  • 中東 (バーレーン)

  • イスラエル (テルアビブ)

  • 中東 (UAE)

  • 欧州 (スペイン)

  • アジアパシフィック (ハイデラバード)

  • 欧州 (チューリッヒ)

  • アジアパシフィック (メルボルン)

  • カナダ西部 (カルガリー)

ホームリージョンについて

ランディングゾーンを作成すると、 AWS マネジメントコンソールへのアクセスに使用するリージョンが AWS Control Tower のホーム AWS リージョンになります。作成プロセス中に、一部のリソースがホームリージョンにプロビジョニングされます。OUs や AWS アカウントなどの他のリソースはグローバルです。

いったん選択したホームリージョンは変更できません。

コントロールとリージョン

現在、予防コントロールはすべてグローバルに使用できます。ただし、検出コントロールとプロアクティブコントロールは、AWSControl Tower がサポートされているリージョンでのみ機能します。新しいリージョンで AWS Control Tower をアクティブ化する際のコントロールの動作の詳細については、「」を参照してくださいAWS Control Tower リージョンを設定する

AWS Control Tower リージョンを設定する

このセクションでは、AWSControl Tower ランディングゾーンを新しい AWS リージョンに拡張したり、ランディングゾーン設定からリージョンを削除したりするときに想定される動作について説明します。通常、このアクションは AWS Control Tower コンソールの更新機能を使用して実行されます。

注記

AWS Control Tower ランディングゾーンを、ワークロードの実行を必要としない AWS リージョンに拡張しないことをお勧めします。リージョンからオプトアウトしても、そのリージョンにリソースをデプロイすることはできませんが、それらのリソースは AWS Control Tower ガバナンスの外部に残ります。

新しいリージョンの設定中に、AWSControl Tower はランディングゾーンを更新します。つまり、ランディングゾーンのベースラインを作成します。

  • 新たに選択されたすべてのリージョンでアクティブに動作します。

  • 選択解除されたリージョンのリソースの管理を停止します。

AWS Control Tower が管理する組織単位 (OUs) 内の個々のアカウントは、このランディングゾーン更新プロセスの一環として更新されません。したがって、 を再登録してアカウントを更新する必要がありますOUs。

AWS Control Tower リージョンを設定するときは、次の推奨事項と制限事項に注意してください。

  • AWS リソースまたはワークロードをホストする予定のリージョンを選択します。

  • リージョンからオプトアウトしても、そのリージョンにリソースをデプロイすることはできませんが、それらのリソースは AWS Control Tower ガバナンスの範囲外のままになります。

新しいリージョンにランディングゾーンを設定すると、AWSControl Tower 検出コントロールは次のルールに従います。

  • 既存のものに変更はありません。既存の OUsリージョンの既存の アカウントでは、検出的および予防的なコントロール動作は変更されません。

  • 更新されていない既存のOUsアカウントを含む既存のアカウントには、新しい検出コントロールを適用できません。AWS Control Tower ランディングゾーンを新しいリージョン (ランディングゾーンを更新) に設定したら、それらの アカウントOUsとアカウントに対して新しい検出コントロールを有効にするOUs前に、既存の アカウントを更新する必要があります。

  • 既存の検出コントロールは、アカウントを更新するとすぐに新しく設定したリージョンで機能し始めます。AWS Control Tower ランディングゾーンを更新して新しいリージョンを設定し、アカウントを更新すると、OU で既に有効になっている検出コントロールは、新しく設定されたリージョンでそのアカウントでの作業を開始します。

AWS Control Tower リージョンの設定
  1. で AWS Control Tower コンソールにサインインする https://console.aws.amazon.com/controltower

  2. 左ペインのナビゲーションメニューで、[Landing zone settings] (ランディングゾーン設定) を選択します。

  3. [Landing zone settings] (ランディングゾーン設定) ページの [Details] (詳細) セクションで、右上の [Modify settings] (設定を変更する) ボタンを選択します。ランディングゾーン更新ワークフローに移動します。新しいリージョンを管理したり、リージョンを管理対象から除外したりするには、最新のランディングゾーンバージョンに更新する必要があるためです。

  4. ガバナンスの追加 AWS リージョン で、管理するリージョンを検索します (または、管理を停止します)。[State] (状態) 列に、現在管理対象となっているリージョンと管理対象になっていないリージョンが表示されます。

  5. 追加で管理対象とする各リージョンのチェックボックスをオンにします。管理対象から除外する各リージョンのチェックボックスをオフにします。

    注記

    リージョンを管理しないことを選択した場合でも、そのリージョンにリソースをデプロイすることはできますが、それらのリソースは AWS Control Tower のガバナンス外のままになります。

  6. 残りのワークフローを完了し、[Update landing zone] (ランディングゾーンの更新) を選択します。

  7. ランディングゾーンのセットアップが完了したら、 を再登録OUsして新しいリージョンのアカウントを更新します。詳細については、「AWS Control Tower OUsとアカウントを更新するタイミング」を参照してください。

新しいリージョンを設定した後に個々のアカウントをプロビジョニングまたは更新する代替方法は、Service Catalog のAPIフレームワークAWS CLIを使用してバッチプロセスでアカウントを更新する方法です。詳細については、「自動化によるアカウントのプロビジョニングと更新」を参照してください。

OU レベルでのリージョン拒否コントロールに関する考慮事項

OU レベルのリージョン拒否コントロールの主な考慮事項は、両方がアクティブ化された場合にランディングゾーンリージョン拒否コントロールとどのようにやり取りするかを決定することです。詳細については、「OU に適用されるリージョン拒否コントロール」を参照してください。

また、「リージョン拒否コントロールの設定」も確認できます。