アカウント AWS リージョン で を有効または無効にする - AWS アカウント管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウント AWS リージョン で を有効または無効にする

AWS リージョンとは、世界中にある物理的な場所であり、各リージョンには複数のアベイラビリティーゾーンがあります。アベイラビリティーゾーンは 1 つ以上の個別の AWS データセンターで構成され、それぞれが冗長電源、ネットワーク、および接続を備え、別々の施設に収容されています。つまり、それぞれ AWS リージョン が物理的に分離され、他のリージョンから独立しています。リージョンでは耐障害性や安定性が提供され、レイテンシーを低減することもできます。利用可能なリージョンと今後予定されているリージョンのマップについては、リージョンとアベイラビリティーゾーンを参照してください。

あるリージョンで作成したリソースは、 AWS サービスが提供するレプリケーション機能を明示的に使用しない限り、他のリージョンには存在しません。たとえば、Amazon S3 と Amazon EC2 はクロスリージョンのレプリケーションをサポートしています。 AWS Identity and Access Management (IAM) などの一部のサービスには、リージョンリソースがありません。

アカウントにより、利用できるリージョンが決まります。

  • AWS アカウント には複数のリージョンが用意されているため、要件を満たす場所で AWS リソースを起動できます。例えば、ヨーロッパの顧客に近づけるため、または法的要件を満たすために、ヨーロッパで Amazon EC2 インスタンスを起動したい場合があります。

  • An AWS GovCloud (米国西部) アカウントは、 AWS GovCloud (米国西部) リージョンと AWS GovCloud (米国東部) リージョンへのアクセスを提供します。詳細については、「AWS GovCloud (US)」を参照してください。

  • Amazon AWS (中国) アカウントでは、北京および寧夏リージョンにのみアクセスできます。詳細については「Amazon Web Services in China」(中国でのAmazon ウェブ サービス) を参照してください。

リージョン名と対応するコードのリストについては、「AWS 全般のリファレンスガイド」の「リージョンエンドポイント」を参照してください。各リージョンでサポートされている AWS サービス (エンドポイントなし) のリストについては、AWS 「リージョンサービスリスト」を参照してください。

重要

AWS では、レイテンシーを減らすために、グローバルエンドポイントの代わりに Regional AWS Security Token Service (AWS STS) エンドポイントを使用することをお勧めします。リージョンの AWS STS エンドポイントからのセッショントークンは、すべての AWS リージョンで有効です。リージョンの AWS STS エンドポイントを使用する場合は、変更を加える必要はありません。ただし、グローバル AWS STS エンドポイント (https://sts.amazonaws.com) からのセッショントークンは、 AWS リージョン 有効にした またはデフォルトで有効になっている でのみ有効です。アカウントで新しいリージョンを有効にする場合は、リージョンの AWS STS エンドポイントからセッショントークンを使用するか、グローバル AWS STS エンドポイントをアクティブ化して、すべての で有効なセッショントークンを発行できます AWS リージョン。すべてのリージョンで有効なセッショントークンは大きくなります。セッショントークンを保存すると、これらの大きなトークンがシステムに影響を与える可能性があります。 AWS STS エンドポイントが AWS リージョンと連携する方法の詳細については、「 AWS リージョン AWS STS での の管理」を参照してください。

リージョンを有効化または無効化する前の考慮事項

リージョンを有効化または無効化する前に、以下の点について考慮することが重要です。

  • 2019 年 3 月 20 日より前に導入されたリージョンはデフォルトで有効になっています。 AWS つまり、これらのリージョンでリソースの作成と管理をすぐに開始 AWS リージョン できます。デフォルトで有効になっているリージョンは、有効または無効にできません。現在、 がリージョン AWS を追加すると、新しいリージョンはデフォルトで無効になっています。ユーザーが新しいリージョンでリソースを作成および管理できるようにするには、まずそのリージョンを有効にする必要があります。以下のリージョンはデフォルトで有効になっています。

    名前 コード
    米国東部 (バージニア北部) us-east-1
    米国東部 (オハイオ) us-east-2
    米国西部 (北カリフォルニア) us-west-1
    米国西部 (オレゴン) us-west-2
    アジアパシフィック (東京) ap-northeast-1
    アジアパシフィック (ソウル) ap-northeast-2
    アジアパシフィック (大阪) ap-northeast-3
    アジアパシフィック (ムンバイ) ap-south-1
    アジアパシフィック (シンガポール) ap-southeast-1
    アジアパシフィック (シドニー) ap-southeast-2
    カナダ (中部) ca-central-1
    欧州 (フランクフルト) eu-central-1
    欧州 (ストックホルム) eu-north-1
    欧州 (アイルランド) eu-west-1
    欧州 (ロンドン) eu-west-2
    欧州 (パリ) eu-west-3
    南米 (サンパウロ) sa-east-1
  • IAM アクセス許可を使用してリージョンへのアクセスを制御 – AWS Identity and Access Management (IAM) には、リージョンを有効化、無効化、取得、一覧表示できるユーザーを制御できる 4 つのアクセス許可が含まれています。詳細については、「IAM ユーザーガイド」の「AWS: AWS リージョンの有効化と無効化を許可する」を参照してください。aws:RequestedRegion 条件キーを使用して、 AWS のサービス の へのアクセスを制御することもできます AWS リージョン。

  • リージョンの有効化は無料 – リージョンを有効にしても料金はかかりません。新しいリソースで作成するリソースに対してのみ、料金がかかります。

  • リージョンを無効にすると、リージョン内のリソースへの IAM アクセスが無効になります。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスなどの AWS リソースがまだ含まれているリージョンを無効にすると、そのリージョン内のリソースへの IAM アクセスは失われます。例えば、無効にしたリージョンでは、 AWS Management Console を使用して EC2 インスタンスの設定を表示したり変更したりすることはできません。

  • リージョンを無効にしてもアクティブなリソースに対する料金は引き続き発生する - まだ AWS リソースが含まれているリージョンを無効化した場合、それらのリソースに対する料金 (存在する場合) は標準レートで引き続き発生します。例えば、Amazon EC2 インスタンスが含まれているリージョンを無効にした場合、それらのインスタンスはアクセス不可能であっても、引き続き料金のお支払いが必要になります。

  • リージョンの無効化は必ずしも即時に表示されるわけではない - リージョンを無効にした後もサービスやコンソールが一時的に表示される場合があります。リージョンの無効化には、数秒から数分の時間がかかる場合があります。

  • リージョンの有効化は、場合によっては数分から数時間かかる – リージョンを有効にすると、 AWS はリージョンへの IAM リソースの配信など、そのリージョンでアカウントを準備するためのアクションを実行します。このプロセスは、ほとんどのアカウントでは数分で完了しますが、場合によっては数時間かかることもあります。このプロセスが完了するまでそのリージョンを使用することはできません。

  • Organizations は、 AWS 組織全体で一度に 50 件のリージョンオプトリクエストを開くことができます。管理アカウントは、組織の完了保留中のオープンリクエストをいつでも 50 件持つことができます。1 つのリクエストは、1 つのアカウントに対する特定の 1 つのリージョンの有効化または無効化のいずれかに相当します。

  • 1 つのアカウントが同時に持つことができる進行中のリージョンオプトリクエストは最大 6 件 - 1 つのリクエストは、1 つのアカウントに対する特定の 1 つのリージョンの有効化または無効化のいずれかに相当します。

  • Amazon EventBridge 統合 – お客様は、EventBridge でリージョンオプトステータス更新通知をサブスクライブできます。ステータスが変更されるたびに EventBridge 通知が作成され、お客様はワークフローを自動化できます。

  • 詳細なリージョンオプトステータス – オプトインリージョンの有効化/無効化は非同期的に行われるため、リージョンオプトリクエストには次の 4 つのステータスがあります。

    • ENABLING

    • DISABLING

    • ENABLED

    • DISABLED

    オプトインまたはオプトアウトは、そのステータスが ENABLING または DISABLING である場合はキャンセルできません。それ以外の場合は、ConflictException がスローされます。完了した (有効/無効) リージョンオプトリクエストは、基盤となる主要な AWS サービスのプロビジョニングに依存します。ステータスが であっても、すぐには使用できない AWS サービスがある場合がありますENABLED

  • との完全な統合 AWS Organizations – 管理アカウントは、その AWS 組織のメンバーアカウントに対してリージョンオプトを変更または読み取ることができます。メンバーアカウントも、自身のリージョンの状態を読み取り/書き込みすることができます。

スタンドアロンアカウントのリージョンの有効化または無効化

AWS アカウント がアクセスできるリージョンを更新するには、次の手順を実行します。 AWS Management Console 以下の手順は、常にスタンドアロンコンテキストでのみ機能します。を使用して AWS Management Console 、 オペレーションの呼び出しに使用したアカウントで使用可能なリージョンのみを表示または更新できます。

AWS Management Console
スタンドアロン のリージョンを有効または無効にするには AWS アカウント
最小アクセス許可

以下の手順の手順を実行するには、IAM ユーザーまたはロールに次のアクセス許可が必要です。

  • account:ListRegions ( のリスト AWS リージョン と、現在有効か無効かを表示する必要があります)。

  • account:EnableRegion

  • account:DisableRegion

  1. に、AWS Management Console AWS アカウントのルートユーザー 最小限のアクセス許可を持つ IAM ユーザーまたはロールとしてサインインします。

  2. ウィンドウの右上にあるアカウント名を選択し、[アカウント] を選択します。

  3. [アカウント] ページで、[AWS リージョン] セクションまでスクロールダウンします。

    注記

    この情報へのアクセスを承認するよう求められる場合があります。 AWS は、アカウントに関連付けられた E メールアドレスと主要連絡先の電話番号にリクエストを送信します。リクエスト内のリンクを選択してブラウザで開き、アクセスを承認します。

  4. アクション列のオプション AWS リージョン がある各 の横にある、アカウントのユーザーがそのリージョンでリソースを作成およびアクセスできるようにするかどうかに応じて、有効または無効を選択します。

  5. プロンプトが表示されたら、選択内容を確認します。

  6. すべての変更を加え終わったら、[Update] (更新) を選択します。

AWS CLI & SDKs

リージョンオプトステータスの有効化、無効化、読み取り、一覧表示は、次の AWS CLI コマンドまたは AWS SDK と同等のオペレーションを使用して行うことができます。

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最小アクセス許可

次の手順を実行するには、そのオペレーションにマッピングするためのアクセス許可が必要です。

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

これらの個別のアクセス許可を使用すると、一部のユーザーにリージョンオプト情報の読み取りのみを許可し、他のユーザーには読み取りと書き込みを許可するということもできます。

次の例では、組織内の指定されたメンバーアカウントのリージョンを有効にします。使用される認証情報は、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのいずれかから取得する必要があります。

同じコマンド (enable-regiondisable-region に置き換える) を使用してリージョンを無効にすることもできます。

aws account enable-region --region-name af-south-1

このコマンドは成功時に出力を生成しません。

このオペレーションは非同期です。次のコマンドを使用すると、リクエストの最新ステータスを確認できます。

aws account get-region-opt-status --region-name af-south-1 { "RegionName": "af-south-1", "RegionOptStatus": "ENABLING" }

組織内のリージョンの有効化または無効化

のメンバーアカウントで有効なリージョンを更新するには AWS Organizations、次の手順を実行します。

注記

AWS Organizations 管理ポリシー AWSOrganizationsReadOnlyAccessまたは AWSOrganizationsFullAccessが更新され、 AWS コンソールからアカウントデータにアクセスできるように、 アカウント管理 APIsへのアクセス許可が付与されます AWS Organizations 。更新された管理ポリシーを表示するには、「Organizations AWS 管理ポリシーの更新」を参照してください。

注記

組織の管理アカウントまたは委任管理者アカウントからメンバーアカウントに対してこれらの操作を実行する前に、以下を行う必要があります。

  • メンバーアカウントの設定を管理するために、組織内のすべての機能を有効にします。これにより、管理者がメンバーアカウントを制御できるようになります。これは、組織を作成すると、デフォルトで設定されます。組織が一括決済のみに設定されていて、すべての機能を有効にする場合は、「組織内のすべての機能の有効化」を参照してください。

  • AWS アカウント管理サービスの信頼されたアクセスを有効にします。これを設定するには、「AWS アカウント管理用の信頼されたアクセスの有効化」を参照してください。

AWS Management Console
組織内のリージョンを有効または無効にする手順
  1. 組織の管理アカウントの認証情報を使用して AWS Organizations コンソールにサインインします。

  2. [AWS アカウント] ページで、更新するアカウントを選択します。

  3. [アカウント設定] タブを選択します。

  4. [リージョン] で、有効または無効にするリージョンを選択します。

  5. [アクション] を選択し、[有効化] または [無効化] オプションのいずれかを選択します。

  6. [有効化] オプションを選択した場合は、表示されたテキストを確認してから、[リージョンを有効にする] を選択します。

  7. [無効化] オプションを選択した場合は、表示されたテキストを確認し、確認のために disable と入力して、[リージョンを無効にする] を選択します。

AWS CLI & SDKs

組織メンバーアカウントのリージョンオプトステータスの有効化、無効化、読み取り、一覧表示は、次の AWS CLI コマンドまたは AWS SDK と同等のオペレーションを使用して行うことができます。

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最小アクセス許可

次の手順を実行するには、そのオペレーションにマッピングするためのアクセス許可が必要です。

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

これらの個別のアクセス許可を使用すると、一部のユーザーにリージョンオプト情報の読み取りのみを許可し、他のユーザーには読み取りと書き込みを許可するということもできます。

次の例では、組織内の指定されたメンバーアカウントのリージョンを有効にします。使用される認証情報は、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのいずれかから取得する必要があります。

同じコマンド (enable-regiondisable-region に置き換える) を使用してリージョンを無効にすることもできます。

aws account enable-region --account-id 123456789012 --region-name af-south-1

このコマンドは成功時に出力を生成しません。

注記

組織が同時に持つことができるリージョンリクエストは、最大 20 個のみです。これを超えると、TooManyRequestsException が発生します。

このオペレーションは非同期です。次のコマンドを使用すると、リクエストの最新ステータスを確認できます。

aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1 { "RegionName": "af-south-1", "RegionOptStatus": "ENABLING" }