翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
2021 年 1 月~ 12 月
2021 年、AWSControl Tower は次の更新をリリースしました。
リージョン拒否機能
2021 年 11 月 30 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower でリージョン拒否機能が提供されるようになりました。これにより、 へのアクセスを制限できます。 AWS AWS Control Tower 環境に登録されたアカウントの サービスとオペレーション。リージョン拒否機能は、AWSControl Tower の既存のリージョン選択機能とリージョン選択解除機能を補完します。これらの機能を組み合わせて、追加のリージョンへの拡大に伴うコストのバランスをとり、コンプライアンスや規制上の懸念に対処するのに役立ちます。
例えば、 などです AWS ドイツの のお客様は、 へのアクセスを拒否できます。 AWS フランクフルトリージョン以外のリージョンの サービス。AWS Control Tower のセットアッププロセス中、またはランディングゾーンの設定ページで、制限されたリージョンを選択できます。リージョン拒否機能は、AWSControl Tower ランディングゾーンのバージョンを更新するときに使用できます。選択 AWS サービスはリージョン拒否機能から除外されます。詳細については、「リージョン拒否コントロールの設定」を参照してください。
データ所在地機能
2021 年 11 月 30 日
(AWSControl Tower ランディングゾーンの更新は必要ありません)
AWS Control Tower は、アップロードする顧客データを確実にするために専用のコントロールを提供するようになりました。 AWS サービスは にのみ配置されます。 AWS 指定したリージョン。を選択できます。 AWS 顧客データが保存および処理されるリージョン。の完全なリスト AWS AWS Control Tower が利用可能なリージョンについては、「」を参照してください。 AWS リージョンテーブル
きめ細かな制御のために、Amazon Virtual Private Network (VPN) 接続の禁止、Amazon VPCインスタンスのインターネットアクセスの禁止などの追加の制御を適用できます。AWS Control Tower コンソールでコントロールのコンプライアンスステータスを表示できます。使用可能なコントロールの完全なリストについては、AWS「Control Tower コントロールライブラリ」を参照してください。
AWS Control Tower が Terraform アカウントのプロビジョニングとカスタマイズを導入
2021 年 11 月 29 日
(AWSControl Tower ランディングゾーンのオプションの更新)
Terraform を使用して、AWSControl Tower Account AWS Factory for Terraform (AFT) を使用して、カスタマイズされたアカウントを Control Tower 経由でプロビジョニングおよび更新できるようになりました。
AFT は、単一の Terraform Infrastructure as Code (IaC) パイプラインを提供し、AWSControl Tower によって管理されるアカウントをプロビジョニングします。プロビジョニング中のカスタマイズは、アカウントをエンドユーザーに提供する前に、ビジネスポリシーとセキュリティポリシーを満たすのに役立ちます。
AFT 自動アカウント作成パイプラインは、アカウントのプロビジョニングが完了するまでモニタリングし、その後続行して、必要なカスタマイズでアカウントを強化する追加の Terraform モジュールをトリガーします。カスタマイズプロセスの追加部分として、独自のカスタム Terraform モジュールをインストールするようにパイプラインを設定し、 が提供するAFT機能オプションのいずれかを追加することもできます。 AWS 一般的なカスタマイズ用の 。
AWS Control Tower Account Factory for Terraform の使用を開始するには、AWS「Control Tower ユーザーガイド」、「」、および「Terraform Terraform 用の AWS Control Tower Account Factory をデプロイする (AFT) インスタンス用の をダウンロードAFT」に記載されている手順に従います。AFT は、Terraform Cloud、Terraform Enterprise、および Terraform Open Source ディストリビューションをサポートします。
新しいライフサイクルイベントが利用可能に
2021 年 11 月 18 日
(AWSControl Tower ランディングゾーンの更新は必要ありません)
PrecheckOrganizationalUnit
イベントは、ネストされた のリソースを含む、ガバナンスの拡張タスクが成功をブロックするリソースがあるかどうかを記録しますOUs。詳細については、「PrecheckOrganizationalUnit」を参照してください。
AWS Control Tower がネストされた を有効にする OUs
2021 年 11 月 16 日
(AWSControl Tower ランディングゾーンの更新は必要ありません)
AWS Control Tower では、ネストされた をランディングゾーンOUsの一部として含めることができるようになりました。
AWS Control Tower では、ネストされた組織単位 (OUs) がサポートされているため、アカウントを複数の階層レベルに整理し、予防コントロールを階層的に適用できます。ネストされた OUsを含む登録OUs、親 OUsでの作成と登録OUs、登録された OU に対するコントロールの有効化は、深さに関係なく行うことができます。この機能をサポートするために、コンソールには管理対象アカウントの数と が表示されますOUs。
ネストされた ではOUs、AWSControl Tower を OUsに合わせることができます。 AWS マルチアカウント戦略では、親 OU レベルでコントロールを適用することでOUs、複数の でコントロールを有効にするのに必要な時間を短縮できます。
主な考慮事項
-
既存のマルチレベルを AWS Control Tower OUsに一度に 1 つの OU で登録できます。最上位の OU から始めて、ツリーを下に進めます。詳細については、「フラットな OU 構造からネストされた OU 構造への拡張」を参照してください。
-
登録された OU の直下のアカウントは自動的に登録されます。ツリーの下の方にあるアカウントは、直接の親 OU を登録することで登録できます。
-
予防コントロール (SCPs) は自動的に階層に継承され、親 SCPs に適用された はネストされたすべての に継承されますOUs。
-
検出コントロール (AWS Config ルール) は自動的にNOT継承されます。
-
検出コントロールのコンプライアンスは、各 OU によって報告されます。
-
SCP OU のドリフトは、すべてのアカウントとそのOUs下に影響します。
-
セキュリティ OU (コア OU) OUsの下にネストされた新しい を作成することはできません。
検出コントロールの同時実行性
2021 年 11 月 5 日
(AWSControl Tower ランディングゾーンのオプションの更新)
AWS Control Tower の検出コントロールは、検出コントロールの同時操作をサポートするようになり、使いやすさとパフォーマンスが向上しました。個々のコントロールオペレーションが完了するのを待たずに、複数の検出コントロールを有効にできます。
サポートされている機能:
-
同じ OU でさまざまな検出コントロールを有効にします (例えば、ルートユーザーMFAに対して を有効にするかどうかの検出、Amazon S3 バケットへのパブリック書き込みアクセスを許可するかどうかの検出など)。
-
異なる で異なる検出コントロールOUsを同時に有効にします。
-
ガードレールのエラーメッセージングが改善され、サポートされているコントロールの同時実行オペレーションに関する追加のガイダンスが提供されるようになりました。
このリリースではサポートされない機能:
-
複数の で同じ検出コントロールOUsを同時に有効にすることはサポートされていません。
-
予防的コントロールの同時実行はサポートされていません。
AWS Control Tower のすべてのバージョンで、検出コントロールの同時実行性の改善を体験できます。現在バージョン 2.7 を使用していないお客様は、最新バージョンで利用できるリージョンの選択や選択解除などの機能を利用できるように、ランディングゾーンの更新を実行することをお勧めします。
2 つの新しいリージョンが利用可能に
2021 年 7 月 29 日
(AWSControl Tower ランディングゾーンに必要な更新)
AWS Control Tower が 2 つの追加で利用可能になりました AWS リージョン: 南米 (サンパウロ)、欧州 (パリ)。この更新により、AWSControl Tower の可用性が 15 に拡張されました AWS リージョン。
AWS Control Tower を初めて使用する場合は、サポートされている任意のリージョンですぐに起動できます。起動時に、AWSControl Tower がマルチアカウント環境を構築して管理するリージョンを選択できます。
AWS Control Tower 環境がすでにあり、サポートされている 1 つ以上のリージョンで AWS Control Tower ガバナンス機能を拡張または削除する場合は、AWSControl Tower ダッシュボードのランディングゾーン設定ページに移動し、リージョンを選択します。ランディングゾーンを更新したら、AWSControl Tower によって管理されているすべてのアカウントを更新する必要があります。
リージョンの選択解除
2021 年 7 月 29 日
(AWSControl Tower ランディングゾーンのオプションの更新)
AWS Control Tower リージョンの選択解除により、AWSControl Tower リソースの地理的フットプリントを管理する機能が向上します。AWS Control Tower で管理しなくなったリージョンの選択を解除できます。この機能により、追加のリージョンへの拡大に伴うコストのバランスをとりながら、コンプライアンスや規制に関する懸念に対処できます。
AWS Control Tower ランディングゾーンのバージョンを更新すると、リージョンの選択解除が利用できます。
Account Factory を使用して新しいアカウントを作成するか、既存のメンバーアカウントを登録するか、ガバナンスを拡張して既存の組織単位にアカウントを登録すると、AWSControl Tower は、アカウント内の選択したリージョンに、一元化されたログ記録、モニタリング、コントロールなどのガバナンス機能をデプロイします。リージョンの選択を解除し、そのリージョンから AWS Control Tower ガバナンスを削除することを選択すると、そのガバナンス機能は削除されますが、ユーザーのデプロイ機能は妨げられません。 AWS リソースまたはそれらのリージョンへのワークロード。
AWS Control Tower は と連携します AWS キー管理システム
2021 年 7 月 28 日
(AWSControl Tower ランディングゾーンのオプションの更新)
AWS Control Tower には、 を使用するオプションがあります。 AWS Key Management Service (AWS KMS) キー。AWS Control Tower がデプロイするサービスを保護するために、ユーザーがキーを提供および管理します。 AWS CloudTrail, AWS Config、および関連する Amazon S3 データ。 AWS KMS 暗号化は、AWSControl Tower がデフォルトで使用する SSE-S3 暗号化よりも強化されたレベルの暗号化です。
の統合 AWS KMS AWS Control Tower への のサポートは、 AWS Foundational Security Best Practices 。機密性の高いログファイルのセキュリティレイヤーを追加することをお勧めします。を使用する必要があります AWS KMS保管時の暗号化用の マネージドキー (SSE-KMS)。 AWS KMS 暗号化サポートは、新しいランディングゾーンを設定するとき、または既存の AWS Control Tower ランディングゾーンを更新するときに使用できます。
この機能を設定するには、ランディングゾーンの初回セットアップ時にKMSキー設定を選択します。既存のKMSキーを選択するか、 に移動するボタンを選択できます。 AWS KMS コンソールを使用して新しいコンソールを作成します。また、デフォルトの暗号化から SSE-KMS、または別の SSE-KMS キーに柔軟に変更することもできます。
既存の AWS Control Tower ランディングゾーンでは、更新を実行して の使用を開始できます。 AWS KMS キー。
コントロールの名前が変更され、機能は変更されません
2021 年 7 月 26 日
(AWSControl Tower ランディングゾーンの更新は必要ありません)
AWS Control Tower は、コントロールのポリシー意図をより適切に反映するために、特定のコントロール名と説明を改訂しています。改訂された名前と説明は、コントロールがアカウントのポリシーを具現化する方法をより直感的に理解するのに役立ちます。例えば、検出コントロール自体が特定のアクションを停止せず、ポリシー違反を検出し、ダッシュボードを介してアラートを提供するだけであるため、検出コントロールの名前の一部を「許可しない」から「検出」に変更しました。
コントロールの機能、ガイダンス、および実装は変更ありません。コントロールの名前と説明のみ改訂されています。
AWS Control Tower はSCPs毎日スキャンしてドリフトがないか確認します。
2021 年 5 月 11 日
(AWSControl Tower ランディングゾーンの更新は必要ありません)
AWS Control Tower は、 マネージドの毎日の自動スキャンを実行してSCPs、対応するコントロールが正しく適用され、ドリフトしていないことを確認します。スキャンでドリフトが検出されると、通知が届きます。AWS Control Tower はドリフトの問題ごとに 1 つの通知のみを送信するため、ランディングゾーンが既にドリフト状態になっている場合、新しいドリフト項目が見つからない限り、追加の通知は送信されません。
OUs および アカウントのカスタマイズされた名前
2021 年 4 月 16 日
(AWSControl Tower ランディングゾーンの更新は必要ありません)
AWS Control Tower では、ランディングゾーンの命名をカスタマイズできるようになりました。AWS Control Tower が組織単位 (OUs) とコアアカウントに対して推奨する名前を保持することも、最初のランディングゾーンのセットアッププロセス中にこれらの名前を変更することもできます。
AWS Control Tower が OUsおよび コアアカウントに提供するデフォルト名は、 AWS マルチアカウントのベストプラクティスのガイダンス。ただし、会社に特定の命名ポリシーがある場合、または同じ推奨名を持つ既存の OU またはアカウントがすでにある場合、新しい OU とアカウントの命名機能により、これらの制約に柔軟に対応できます。
設定時のこのワークフローの変更とは別に、以前はコア OU と呼ばれていた OU はセキュリティ OU と呼ばれ、以前はカスタム OU と呼ばれていた OU はサンドボックス OU と呼ばれるようになりました。この変更は、全体的な との整合性を向上させるために行われました。 AWS 命名に関する ベストプラクティスガイダンス。
新しいお客様には、これらの新しい OU 名が表示されます。既存のお客様には、これらの の元の名前が引き続き表示されますOUs。ドキュメントを新しい名前に更新している間、OU の命名に不一致が生じることがあります。
から AWS Control Tower の使用を開始するには AWS マネジメントコンソールで AWS Control Tower コンソールに移動し、右上のランディングゾーンの設定を選択します。詳細については、AWSControl Tower ランディングゾーンの計画についてお読みください。
AWS Control Tower ランディングゾーンバージョン 2.7
2021 年 4 月 8 日
(AWSControl Tower ランディングゾーンをバージョン 2.7 に更新する必要があります。 詳細については、「」を参照してくださいランディングゾーンを更新する)
AWS Control Tower バージョン 2.7 では、AWSControl Tower リソースにのみポリシーを実装する 4 つの新しい必須の予防的ログアーカイブAWSコントロールが導入されています。Control Tower の外部にあるリソースのポリシーを設定するため、4 つの既存のログアーカイブコントロールのガイダンスを必須コントロールから選択的AWSコントロールに調整しました。このコントロールの変更と拡張により、Control Tower 内のリソースのログアーカイブガバナンスを AWS Control Tower AWS 外のリソースのガバナンスから分離できます。
4 つの変更されたコントロールを新しい必須コントロールと組み合わせて使用して、より広範な のセットにガバナンスを提供できます。 AWS ログアーカイブ。既存の AWS Control Tower 環境では、環境の一貫性を保つため、これらの 4 つの変更コントロールが自動的に有効になりますが、これらの選択的コントロールを無効にすることができるようになりました。新しい AWS Control Tower 環境では、すべての選択的コントロールを有効にする必要があります。既存の環境では、AWSControl Tower によってデプロイされていない Amazon S3 バケットに暗号化を追加する前に、以前の必須コントロールを無効にする必要があります。
新しい必須コントロール:
-
ログアーカイブで AWS Control Tower が作成した S3 バケットの暗号化設定の変更を禁止する
-
ログアーカイブで AWS Control Tower が作成した S3 バケットのログ設定の変更を禁止する
-
ログアーカイブで AWS Control Tower が作成した S3 バケットのバケットポリシーの変更を禁止する
-
ログアーカイブで AWS Control Tower が作成した S3 バケットのライフサイクル設定の変更を禁止する
必須から選択的に変更されたガイダンス:
-
Disallow Changes to Encryption Configuration for all Amazon S3 Buckets (すべての Simple Storage Service (Amazon S3) バケットの暗号化設定の変更を許可しない) [Previously: Enable Encryption at Rest for Log Archive (以前: ログアーカイブの保管時に暗号化を有効にする)]
-
Disallow Changes to Logging Configuration for all Amazon S3 Buckets (すべての Simple Storage Service (Amazon S3) バケットのログ設定の変更を許可しない) [Previously: Enable Access Logging for Log Archive (以前: ログアーカイブのアクセスログを有効にする)]
-
Disallow Changes to Bucket Policy for all Amazon S3 Buckets (すべての Amazon S3 バケットのバケットポリシーの変更を不許可にする) [Previously: Disallow Policy Changes to Log Archive (以前: ログアーカイブのポリシー変更を禁止する)]
-
Disallow Changes to Lifecycle Configuration for all Amazon S3 Buckets (すべての Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更を許可しない) [Previously: Set a Retention Policy for Log Archive (以前: ログアーカイブの保持ポリシーを設定する)]
AWS Control Tower バージョン 2.7 には、AWSControl Tower ランディングゾーンの設計図の変更が含まれており、2.7 にアップグレードすると以前のバージョンとの互換性が失われる可能性があります。
-
特に、AWSControl Tower バージョン 2.7 では、AWSControl Tower によってデプロイされた S3 バケットで
BlockPublicAccess
が自動的に有効になります。ワークロードでアカウント全体のアクセスが必要な場合は、このデフォルトをオフにすることができます。BlockPublicaccess
を有効にした場合の動作については、「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。 -
AWS Control Tower バージョン 2.7 には、 の要件が含まれていますHTTPS。AWS Control Tower によってデプロイされた S3 バケットに送信されるすべてのリクエストは、セキュアソケットレイヤー () を使用する必要がありますSSL。HTTPS リクエストのみが渡すことができます。( HTTPなしSSL) をエンドポイントとして使用してリクエストを送信する場合、この変更によりアクセス拒否エラーが発生し、ワークフローが中断される可能性があります。ランディングゾーンを 2.7 に更新した後で、この変更を元に戻すことはできません。
TLSの代わりに を使用するようにリクエストを変更することをお勧めしますHTTP。
3 つの新しい AWS 利用できるリージョン
2021 年 4 月 8 日
(AWSControl Tower ランディングゾーンに必要な更新)
AWS Control Tower は、さらに 3 つの で利用できます。 AWS リージョン: アジアパシフィック (東京) リージョン、アジアパシフィック (ソウル) リージョン、アジアパシフィック (ムンバイ) リージョン。これらのリージョンにガバナンスを拡大するには、ランディングゾーンをバージョン 2.7 に更新する必要があります。
バージョン 2.7 への更新を実行しても、ランディングゾーンがこれらのリージョンに自動的に展開されることはありません。含まれるようにするには、リージョン表でそれらを表示して選択する必要があります。
選択したリージョンのみを管理
2021 年 2 月 19 日
(AWSControl Tower ランディングゾーンの更新は必要ありません)
AWS Control Tower リージョンを選択すると、AWSControl Tower リソースの地理的フットプリントをより適切に管理できます。ホストするリージョンの数を拡張するには AWS リソースまたはワークロード – コンプライアンス、規制、コスト、またはその他の理由で、管理する追加のリージョンを選択できるようになりました。
リージョンの選択は、新しいランディングゾーンを設定するか、AWSControl Tower ランディングゾーンのバージョンを更新するときに使用できます。Account Factory を使用して新しいアカウントを作成するか、既存のメンバーアカウントを登録するか、Extend Governance を使用して既存の組織単位にアカウントを登録すると、AWSControl Tower は、アカウント内の選択したリージョンに一元的なログ記録、モニタリング、コントロールのガバナンス機能をデプロイします。リージョンの選択の詳細については、「AWS Control Tower リージョンを設定する」を参照してください。
AWS Control Tower がガバナンスを OUsの既存の に拡張するようになりました AWS 組織
2021 年 1 月 28 日
(AWSControl Tower ランディングゾーンの更新は必要ありません)
Control Tower コンソール内から既存の組織単位 (OUs) (AWSControl Tower にない組織単位) AWS にガバナンスを拡張します。この機能を使用すると、トップレベルアカウントOUsとインクルードアカウントを AWS Control Tower ガバナンスの下に取り込むことができます。OU 全体へのガバナンスの拡張については、「既存の組織単位を AWS Control Tower に登録する」を参照してください。
OU を登録すると、AWSControl Tower は一連のチェックを実行して、ガバナンスの拡張と OU 内のアカウントの登録が成功することを確認します。OU の初期登録に関連する一般的な問題の詳細については、「登録時または再登録時に発生する障害のよくある原因」を参照してください。
AWS Control Tower 製品のウェブページ
AWS Control Tower が一括アカウント更新を提供
2021 年 1 月 28 日
(AWSControl Tower ランディングゾーンの更新は必要ありません)
一括更新機能を使用すると、登録されている のすべてのアカウントを更新できるようになりました。 AWS Organizations AWS Control Tower ダッシュボードから、ワンクリックで最大 300 のアカウントを含む組織単位 (OU)。これは、AWSControl Tower ランディングゾーンを更新し、現在のランディングゾーンバージョンに合わせて登録済みアカウントを更新する必要がある場合に特に便利です。
この機能は、AWSControl Tower ランディングゾーンを更新して新しいリージョンに拡張するとき、または OU を再登録して、その OU 内のすべてのアカウントに最新のコントロールが適用されるようにするときに、アカウントを最新の状態に保つのにも役立ちます。アカウントの一括更新により、アカウントを 1 つずつ更新したり、外部スクリプトを使用して複数のアカウントに対して更新を実行したりする必要がなくなります。
ランディングゾーンの更新の詳細については、「ランディングゾーンを更新する」を参照してください。
OU の登録または再登録の詳細については、「既存の組織単位を AWS Control Tower に登録する」を参照してください。