リージョンを有効化または無効化する前の考慮事項スタンドアロンアカウントのリージョンの有効化または無効化組織内のリージョンの有効化または無効化

アカウントでの AWS リージョンの有効化または無効化

AWS リージョンとは、世界中にある物理的な場所であり、各リージョンには複数のアベイラビリティーゾーンがあります。アベイラビリティーゾーンは、1 つ以上の独立した AWS データセンターで構成されています。各データセンターには冗長電源、ネットワーキング、および接続が備わっており、個別の施設に収容されています。つまり、各 AWS リージョンは他のリージョンから物理的に分離され、独立しています。リージョンでは耐障害性や安定性が提供され、レイテンシーを低減することもできます。利用可能なリージョンと今後予定されているリージョンのマップについては、リージョンとアベイラビリティーゾーンを参照してください。

あるリージョンで作成したリソースは、AWS のサービスで提供されるレプリケーション機能を明示的に使用しないかぎり、他のリージョンに存在することはありません。たとえば、Amazon S3 と Amazon EC2 はクロスリージョンのレプリケーションをサポートしています。AWS Identity and Access Management (IAM) などの一部のサービスには、リージョンリソースがありません。

アカウントにより、利用できるリージョンが決まります。

AWS アカウントでは複数のリージョンが提供されるため、要件に合った場所で AWS リソースを起動できます。例えば、ヨーロッパの顧客に近づけるため、または法的要件を満たすために、ヨーロッパで Amazon EC2 インスタンスを起動したい場合があります。
AWS GovCloud (米国西部) アカウントでは、AWS GovCloud (米国西部) リージョンおよび AWS GovCloud (米国東部) リージョンにアクセスできます。詳細については、「AWS GovCloud (US)」を参照してください。
Amazon AWS (中国) アカウントでは、北京および寧夏リージョンにのみアクセスできます。詳細については、「Amazon Web Services in China」(中国でのアマゾンウェブサービス) を参照してください。

リージョン名と対応するコードのリストについては、「AWS 全般のリファレンスガイド」の「リージョンエンドポイント」を参照してください。各リージョンでサポートされている AWS サービス (エンドポイントなし) のリストについては、AWS リージョンサービスリストを参照してください。

重要

レイテンシーを減らすために、AWS では、グローバルエンドポイントではなくリージョン別 AWS Security Token Service (AWS STS) エンドポイントを使用することをお勧めします。リージョン別 AWS STS エンドポイントから取得したセッショントークンはすべての AWS リージョンで有効です。リージョン別 AWS STS エンドポイントを使用する場合、変更を加える必要はありません。ただし、セッショントークンはグローバル AWS STSエンドポイント (https://sts.amazonaws.com) はAWS リージョンを有効にする場合、またはデフォルトで有効になっています。アカウントについて新しいリージョンを有効にしようとする場合、リージョン別 AWS STS エンドポイントから取得したセッショントークンを使用するか、またはすべての AWS STS 内で有向なグローバル AWS リージョンエンドポイントをアクティブにします。すべてのリージョンで有効なセッショントークンは大きくなります。セッショントークンを保存すると、これらの大きなトークンがシステムに影響を与える可能性があります。AWSリージョンと連携する AWS STS エンドポイントの詳細については、「AWS リージョン内の AWS STS の管理」を参照してください。

表示を増やす

表示を減らす

リージョンを有効化または無効化する前の考慮事項

リージョンを有効化または無効化する前に、以下の点について考慮することが重要です。

2019 年 3 月 20 日より前に導入されたリージョンはデフォルトで有効 - AWS では当初、すべての新しい AWS リージョンリージョンをデフォルトで有効にしていました。つまり、これらのリージョンでは、リソースの作成と管理をすぐに開始できます。デフォルトで有効になっているリージョンは、有効または無効にできません。現在は、AWS でリージョンが追加された場合、新しいリージョンはデフォルトで無効になります。ユーザーが新しいリージョンでリソースを作成および管理できるようにするには、まずそのリージョンを有効にする必要があります。次のリージョンは、デフォルトで無効になっています。

名前	コード
アフリカ (ケープタウン)	`af-south-1`
アジアパシフィック (香港)	`ap-east-1`
アジアパシフィック (ハイデラバード)	`ap-south-2`
アジアパシフィック (ジャカルタ)	`ap-southeast-3`
アジアパシフィック (メルボルン)	`ap-southeast-4`
カナダ (カルガリー)	`ca-west-1`
欧州 (ミラノ)	`eu-south-1`
欧州 (スペイン)	`eu-south-2`
欧州 (チューリッヒ)	`eu-central-2`
イスラエル (テルアビブ)	`il-central-1`
中東 (バーレーン)	`me-south-1`
中東 (アラブ首長国連邦)	`me-central-1`

IAM アクセス許可を使用してリージョンへのアクセスを制御できる – AWS Identity and Access Management (IAM) には、リージョンを有効化、無効化、取得、およびリストできるユーザーを制御できる 4 つのアクセス許可が含まれています。詳細については、「IAM ユーザーガイド」の「AWS: AWS リージョンの有効化と無効化を許可する」を参照してください。aws:RequestedRegion 条件キーを使用して、AWS リージョン内の AWS のサービスへのアクセスを制御することもできます。
リージョンの有効化は無料 – リージョンを有効にしても料金はかかりません。新しいリソースで作成するリソースに対してのみ、料金がかかります。
リージョンを無効にすると、そのリージョン内のリソースへの IAM アクセスが無効になる – Amazon Elastic Compute Cloud (Amazon EC2) インスタンスなどの AWS リソースがまだ含まれているリージョンを無効にした場合、そのリージョンのリソースへの IAM アクセスは失われます。例えば、無効にしたリージョンでは、AWS Management Consoleを使用して EC2 インスタンスの設定を表示したり変更したりすることはできません。
リージョンを無効にしてもアクティブなリソースに対する料金は引き続き発生する - まだ AWS リソースが含まれているリージョンを無効化した場合、それらのリソースに対する料金 (存在する場合) は標準レートで引き続き発生します。例えば、Amazon EC2 インスタンスが含まれているリージョンを無効にした場合、それらのインスタンスはアクセス不可能であっても、引き続き料金のお支払いが必要になります。
リージョンの無効化は必ずしも即時に表示されるわけではない - リージョンを無効にした後もサービスやコンソールが一時的に表示される場合があります。リージョンの無効化には、数秒から数分の時間がかかる場合があります。
リージョンの有効化は、場合によっては数分から数時間かかる – リージョンを有効にすると、AWS はリージョンへの IAM リソースの配信など、そのリージョンでアカウントを準備するためのアクションを実行します。このプロセスは、ほとんどのアカウントでは数分で完了しますが、場合によっては数時間かかることもあります。このプロセスが完了するまでそのリージョンを使用することはできません。
AWS 組織全体で同時に開くことができるリージョンオプトリクエストは最大 50 件 - 管理アカウントがその組織に対して特定時点で持つことができる未完了のオープンリクエストは最大 50 件です。1 つのリクエストは、1 つのアカウントに対する特定の 1 つのリージョンの有効化または無効化のいずれかに相当します。
1 つのアカウントが同時に持つことができる進行中のリージョンオプトリクエストは最大 6 件 - 1 つのリクエストは、1 つのアカウントに対する特定の 1 つのリージョンの有効化または無効化のいずれかに相当します。
Amazon EventBridge 統合 – お客様は、EventBridge でリージョンオプトステータス更新通知をサブスクライブできます。ステータスが変更されるたびに EventBridge 通知が作成され、お客様はワークフローを自動化できます。
詳細なリージョンオプトステータス – オプトインリージョンの有効化/無効化は非同期的に行われるため、リージョンオプトリクエストには次の 4 つのステータスがあります。
- ENABLING
- DISABLING
- ENABLED
- DISABLED
オプトインまたはオプトアウトは、そのステータスが ENABLING または DISABLING である場合はキャンセルできません。それ以外の場合は、ConflictException がスローされます。完了した (有効化/無効化された) リージョンオプトリクエストは、基盤となる主要な AWS サービスのプロビジョニングに依存します。ステータスが ENABLED になっていても、一部の AWS サービスはすぐには使用できない場合があります。
AWS Organizations との完全な統合 — 管理アカウントは、その AWS 組織の任意のメンバーアカウントのリージョンオプトを変更または読み取ることができます。メンバーアカウントも、自身のリージョンの状態を読み取り/書き込みすることができます。

表示を増やす

表示を減らす

スタンドアロンアカウントのリージョンの有効化または無効化

AWS アカウントがアクセスできるリージョンを更新するには、以下の手順を実行します。以下の AWS Management Consoleの手順は、常にスタンドアロンコンテキストでのみ有効です。AWS Management Consoleを使用して、オペレーションの呼び出しに使用したアカウントで使用可能なリージョンのみを表示または更新できます。

AWS Management Console

スタンドアロン AWS アカウントのリージョンを有効または無効にする手順

最小アクセス許可

以下の手順の手順を実行するには、IAM ユーザーまたはロールに次のアクセス許可が必要です。

account:ListRegions (AWS リージョンのリストを表示して現在有効か無効かを確認するために必要)
account:EnableRegion
account:DisableRegion

AWS アカウントのルートユーザー、あるいは最小アクセス許可を持つ IAM ユーザーまたはロールのいずれかとして AWS Management Console にサインインします。
ウィンドウの右上にあるアカウント名を選択し、[アカウント] を選択します。
[アカウント] ページで、[AWS リージョン] セクションまでスクロールダウンします。

注記
この情報へのアクセスを承認するよう求められる場合があります。AWS は、アカウントに関連付けられた E メールアドレスと主要連絡先の電話番号にリクエストを送信します。リクエスト内のリンクを選択してブラウザで開き、アクセスを承認します。
[Action] (アクション) 列にオプションがある各 AWS リージョンの隣で、アカウント内のユーザーにそのリージョン内でリソースの作成やアクセスを許可したいかどうかに応じて、[Enable] (有効) または [Disable] (無効)のいずれかを選択します。
プロンプトが表示されたら、選択内容を確認します。
すべての変更を加え終わったら、[Update] (更新) を選択します。

AWS CLI & SDKs

次の AWS CLI コマンドまたは同等の AWS SDK オペレーションを使用して、リージョンオプトステータスを有効化、無効化、読み取り、およびリストできます。

EnableRegion
DisableRegion
GetRegionOptStatus
ListRegions

最小アクセス許可

次の手順を実行するには、そのオペレーションにマッピングするためのアクセス許可が必要です。

account:EnableRegion
account:DisableRegion
account:GetRegionOptStatus
account:ListRegions

これらの個別のアクセス許可を使用すると、一部のユーザーにリージョンオプト情報の読み取りのみを許可し、他のユーザーには読み取りと書き込みを許可するということもできます。

次の例では、組織内の指定されたメンバーアカウントのリージョンを有効にします。使用される認証情報は、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのいずれかから取得する必要があります。

同じコマンド (enable-region は disable-region に置き換える) を使用してリージョンを無効にすることもできます。


aws account enable-region --region-name af-south-1

このコマンドは成功時に出力を生成しません。

このオペレーションは非同期です。次のコマンドを使用すると、リクエストの最新ステータスを確認できます。


aws account get-region-opt-status --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }

組織内のリージョンの有効化または無効化

AWS Organizations のメンバーアカウントの有効なリージョンを更新するには、以下の手順を実行します。

注記

AWS Organizations 管理ポリシー (AWSOrganizationsReadOnlyAccess または AWSOrganizationsFullAccess) が AWS アカウント管理 API へのアクセス許可を提供するように更新され、アカウントデータにAWS Organizations コンソールからアカウントデータにアクセスできるようになります。更新された管理ポリシーを表示するには、「Organizations の AWS 管理ポリシーの更新」を参照してください。

注記

組織の管理アカウントまたは委任管理者アカウントからメンバーアカウントに対してこれらの操作を実行する前に、以下を行う必要があります。

メンバーアカウントの設定を管理するために、組織内のすべての機能を有効にします。これにより、管理者がメンバーアカウントを制御できるようになります。これは、組織を作成すると、デフォルトで設定されます。組織が一括決済のみに設定されていて、すべての機能を有効にする場合は、「組織内のすべての機能の有効化」を参照してください。
AWS アカウント管理用に信頼されたアクセスを有効にします。これを設定するには、「AWS アカウント管理用の信頼されたアクセスの有効化」を参照してください。

表示を増やす

表示を減らす

AWS Management Console

組織内のリージョンを有効または無効にする手順

組織の管理アカウントの認証情報を使用して、AWS Organizations コンソールにサインインします。
[AWS アカウント] ページで、更新するアカウントを選択します。
[アカウント設定] タブを選択します。
[リージョン] で、有効または無効にするリージョンを選択します。
[アクション] を選択し、[有効化] または [無効化] オプションのいずれかを選択します。
[有効化] オプションを選択した場合は、表示されたテキストを確認してから、[リージョンを有効にする] を選択します。
[無効化] オプションを選択した場合は、表示されたテキストを確認し、確認のために disable と入力して、[リージョンを無効にする] を選択します。

AWS CLI & SDKs

次の AWS CLI コマンドまたは同等の AWS SDK オペレーションを使用して、組織のメンバーアカウントのリージョンオプトステータスを有効化、無効化、読み取り、およびリストできます。

EnableRegion
DisableRegion
GetRegionOptStatus
ListRegions

最小アクセス許可

次の手順を実行するには、そのオペレーションにマッピングするためのアクセス許可が必要です。

account:EnableRegion
account:DisableRegion
account:GetRegionOptStatus
account:ListRegions

同じコマンド (enable-region は disable-region に置き換える) を使用してリージョンを無効にすることもできます。


aws account enable-region --account-id 123456789012 --region-name af-south-1

このコマンドは成功時に出力を生成しません。

注記

組織が同時に持つことができるリージョンリクエストは、最大 20 個のみです。これを超えると、TooManyRequestsException が発生します。

このオペレーションは非同期です。次のコマンドを使用すると、リクエストの最新ステータスを確認できます。


aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

秘密の質問の編集

AWS アカウントの請求の更新