AWS Control Tower と VPC の概要

AWS Control Tower VPC に関する重要な事実を以下に示します。

• Account Factory でアカウントをプロビジョニングするときに AWS Control Tower によって作成される VPC は、 AWS デフォルトの VPC とは異なります。

• AWS Control Tower AWS がサポートされているリージョンに新しいアカウントを設定すると、AWS Control Tower はデフォルト AWS VPC を自動的に削除し、AWS Control Tower によって設定された新しい VPC をセットアップします。

• 各 AWS Control Tower アカウントには、AWS Control Tower で作成された 1 つの VPC が許可されます。1 つのアカウントには、 AWS アカウントの上限内で追加の VPC を設定できます。

• すべての AWS Control Tower VPC には、米国西部 (北カリフォルニア) リージョン、us-west-1、us-west-1 の 2 つのアベイラビリティーゾーンを除くすべてのリージョンに 3 つのアベイラビリティーゾーンがあります。デフォルトでは、各アベイラビリティーゾーンに 1 つのパブリックサブネットと 2 つのプライベートサブネットが割り当てられます。したがって、米国西部 (北カリフォルニア) 以外のリージョンの場合、各 AWS Control Tower VPC には、デフォルトで 9 つのサブネットが含まれ、3 つのアベイラビリティーゾーンに分かれています。米国西部 (北カリフォルニア) では、6 つのサブネットが 2 つのアベイラビリティーゾーンで分割されます。

• AWS Control Tower VPC 内のサブネットのそれぞれに、同サイズの一意の IP アドレス範囲が割り当てられます。

• VPC 内のサブネットの数は設定可能です。VPC のサブネット設定の変更方法の詳細については、「Account Factory トピック」を参照してください。

• IP アドレスが重複しないため、AWS Control Tower VPC 内の 6 または 9 つのサブネットは無制限に相互通信できます。

VPC を使用する場合、AWS Control Tower はリージョンレベルで区切りません。すべてのサブネットは、指定した正確な CIDR 範囲から割り当てられます。VPC のサブネットは、どのリージョンにも存在できます。

Notes (メモ)

VPC コストを管理する

新しいアカウントをプロビジョニングするときにパブリックサブネットが有効になるように Account Factory の VPC 設定を定義すると、Account Factory によって VPC が設定されて、NAT ゲートウェイが作成されます。料金は Amazon VPC による使用量に対して請求されます。

VPC とコントロールの設定

VPC インターネットアクセス設定を有効にして Account Factory アカウントをプロビジョニングすると、その Account Factory 設定によってコントロール (https://docs.aws.amazon.com/controltower/latest/userguide/disallow-vpc-internet-access.html) が上書きされます。新しくプロビジョニングされたアカウントのインターネットアクセスを有効にしないようにするには、Account Factory で設定を変更する必要があります。詳細については、「https://docs.aws.amazon.com/controltower/latest/userguide/configure-without-vpc.htmlconfigure-without-vpc.html」を参照してください。