ステップ 1: 共有アカウントの E メールアドレスを作成する

landing zone を新しく設定する場合は AWS アカウント、を参照してくださいセットアップ。

• 新しい共有アカウントでlanding zone を設定するには、AWS Control Tower にまだ関連付けられていない 2 つの固有の E メールアドレスが必要です AWS アカウント。これらの E メールアドレスは、それぞれ共同受信箱として機能します。つまり、企業内で AWS Control Tower に関連する特定の作業を行うさまざまなユーザーの共有 E メールアカウントとなります。

• AWS Control Tower を初めてセットアップする場合で、既存のセキュリティアカウントとログアーカイブアカウントを AWS Control Tower に持ち込む場合は、 AWS 既存のアカウントの現在の E メールアドレスを入力できます。

この E メールアドレスは以下に必要です。

• 監査アカウント - このアカウントは、AWS Control Tower によって提供される監査情報にアクセスする必要があるユーザーのチーム用です。また、環境のプログラムによる監査を実行してコンプライアンス目的の監査に役立つサードパーティー製ツールのアクセスポイントとして、このアカウントを使用することもできます。

• ログアーカイブアカウント - このアカウントは、ランディングゾーンで登録済み OU 内のすべての登録済みアカウントに関するログ情報にアクセスする必要があるユーザーのチーム用です。

これらのアカウントは、ランディングゾーンの作成時にセキュリティ OU にセットアップされます。ベストプラクティスとして、これらのアカウントでアクションを実行するときは、適切なスコープの許可を持つ IAM Identity Center ユーザーを使用することをお勧めします。

注記

AWS 監査アカウントとログアーカイブアカウントとして既存のアカウントを指定する場合、既存のアカウントは起動前のチェックに合格して、リソースが AWS Control Tower の要件と矛盾していないことを確認する必要があります。これらのチェックが成功しない場合、ランディングゾーンのセットアップは成功しない可能性があります。特に、 AWS Config アカウントには既存のリソースがあってはなりません。詳細については、「既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項」を参照してください。

わかりやすくするために、このユーザーガイドでは常に共有アカウントをログアーカイブおよび監査というデフォルト名で参照しています。これらのアカウントをカスタマイズする場合は、このドキュメントを参照するときに、アカウントに付けたカスタマイズ後の名前に読み替えてください。[Account details] (アカウントの詳細) ページでは、カスタマイズした名前でアカウントを参照できます。

注記

一部の AWS Control Tower 組織単位 (OU) のデフォルト名に関する用語を、 AWS マルチアカウント戦略に合わせて変更しています。こうした名称をわかりやすくするための移行を進めていますが、まだ統一されていない部分もあります。セキュリティ OU は以前はコア OU と呼ばれていました。サンドボックス OU は、以前はカスタム OU と呼ばれていました。