翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2024 年 1 月～12 月

2024 年、AWS Control Tower は次の更新をリリースしました。

AWS Control Tower CfCT が GitHub と RCPsをサポート

2024 年 12 月 9 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower のカスタマイズ (CFCT) 用のサードパーティーバージョン管理システム (VCS) と設定ソースのオプションとして GitHub TMをサポートするようになりました。詳細については、「設定ソース GitHub として を設定する」を参照してください。

AWS Control Tower は、AWS Control Tower (CFCT) のカスタマイズのリソースコントロールポリシー (RCPs) をサポートするようになりました。詳細については、「CfCT カスタマイズガイド」を参照してください。

AWS Control Tower が宣言ポリシーによる予防コントロールを追加

2024 年 12 月 1 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、宣言ポリシーによって実装される予防コントロールをサポートするようになりました AWS Organizations。宣言型ポリシーは、サービスレベルで直接適用されます。このアプローチにより、サービスによって新機能や APIs が導入された場合でも、指定された設定が適用されます。詳細については、「宣言ポリシーで実装されるコントロール」を参照してください。

AWS Control Tower が規範的なバックアッププランオプションを追加

2024 年 11 月 25 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、データのバックアップと復旧のワークフローをランディングゾーンに直接組み込める規範的な AWS Backup プランがサポートされるようになりました。バックアッププランには、保持日数、バックアップ頻度、バックアップが発生する時間枠などの事前定義されたルールが含まれています。これらのルールは、管理対象 AWS メンバーアカウント全体でリソースをバックアップする方法を定義します。ランディングゾーンにバックアッププランを適用すると、AWS Control Tower は、プランがすべてのメンバーアカウントで一貫しており、 AWS Backup からのベストプラクティスの推奨事項と一致していることを確認します。

詳細については、AWS 「バックアップと AWS Control Tower」を参照してください。

AWS Control Tower は AWS Config コントロールを統合します

2024 年 11 月 21 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、選択した AWS Config コントロールが統合されているため、AWS Control Tower で表示および管理できます。

詳細については、「AWS Control Tower で利用可能な統合 AWS Config コントロール」を参照してください。

AWS Control Tower がフック管理を改善し、プロアクティブコントロールリージョンを追加

2024 年 11 月 20 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

このリリースでは、プロアクティブコントロール用にデプロイされたフックは AWS Control Tower によって管理されます。また、プロアクティブコントロールは、カナダ西部 (カルガリー) リージョンとアジアパシフィック (マレーシア) リージョンで利用できます。

以前は、AWS Control Tower はプロアクティブコントロール機能の AWS CloudFormation フックに依存していました。その結果、デプロイされたフックは保護され、AWS Control Tower のみが変更できるようになりました。このリリースでは、プロアクティブコントロールによってデプロイされたフックは AWS Control Tower サービスによって管理されます。独自のフックを作成できますが、AWS Control Tower のプロアクティブコントロールの利点はそのままです。

現在プロアクティブコントロールをデプロイしている場合は、この改善されたフック機能に移行できます。これを行うには、ResetEnabledControlAPI を呼び出すか、コンソールからリセット機能でコントロールを更新して、各 OU でアクティブなプロアクティブコントロールをリセットします。このタスクを実行すると、AWS Control Tower はプロアクティブコントロールフックを新しい機能に移動し、フックは AWS Control Tower によって直接管理されます。

また、プロアクティブコントロールをリセットした後、他の目的で使用しない場合は、CT.CLOUDFORMATION.PR.1 コントロールを削除できます。このコントロールは、 AWS CloudFormation フックを保護するために必要でした。

AWS Control Tower がマネージドリソースコントロールポリシーを起動

2024 年 11 月 15 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、リソースコントロールポリシー (RCPs) で実装された新しいタイプの予防コントロールを提供します。これらのコントロールは、AWS Control Tower 環境全体でデータ境界を確立し、意図しないアクセスからリソースを保護するのに役立ちます。

例えば、Amazon S3、、Amazon SQS AWS Security Token Service AWS Key Management Service、および AWS Secrets Manager サービスの RCP ベースのコントロールを有効にできます。RCP ベースのコントロールは、個々のバケットポリシーに付与されたアクセス許可に関係なく、「組織の Amazon S3 リソースが、組織に属する IAM プリンシパルまたは AWS サービスによってのみアクセス可能であることを要求」などの要件を適用できます。

新しい RCP ベースのコントロールと特定の既存の SCP ベースの予防コントロールを設定して、プリンシパルとリソースの AWS IAM 免除を指定できます。プリンシパルまたはリソースをコントロールによって管理しない場合は、免除を設定できます。

AWS Control Tower で予防コントロール、プロアクティブコントロール、検出コントロールを組み合わせることで、マルチアカウント AWS 環境が AWS Foundational Security Best Practices 標準などのベストプラクティスに従ってセキュアで管理されているかどうかをモニタリングできます。

これらの新しい RCP ベースの予防コントロールは、AWS Control Tower AWS リージョン が利用可能な で使用できます。AWS Control Tower が利用可能な AWS リージョン の完全なリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower がコントロールポリシードリフトをレポートする

2024 年 11 月 15 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、リソースコントロールポリシー (RCPs) で実装されたコントロール、および Security Hub サービスマネージドスタンダード: AWS Control Tower の一部であるコントロールについて、コントロールポリシーのドリフトを報告するようになりました。このタイプのドリフトは、新しい ResetEnabledControl API を使用して修正できます。詳細については、「Types of governance drift」を参照してください。

新しい ResetEnabledControl API

2024 年 11 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、コントロールドリフトをプログラムで管理するための新しい API を発表しました。コントロールドリフトを修復し、コントロールを意図した設定にリセットできます。ResetEnabledControl API は、強く推奨されるコントロールや選択的コントロールなど、オプションの AWS Control Tower コントロールで動作します。

コントロールドリフトは、 AWS Organizations コンソールなどから AWS Control Tower のコントロールが AWS Control Tower の外部で変更されたときに発生します。ドリフトを解決することで、ガバナンス要件のコンプライアンスを確保できます。

カタログ更新 GetControl API を制御する

2024 年 11 月 8 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、すべてのコントロールのタイプと設定可能な特定のコントロールImplementationのタイプという 2 つの新しいフィールドを含む更新された GetControl API Parameters をサポートするようになりました。

GetControl API は AWS Control Tower controlcatalogの名前空間の一部です。

詳細については、「 Control Catalog GetControl API リファレンス」の「 API」を参照してください。

AWS Control Tower AFT が GitLab をサポート

2024 年 10 月 23 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、Account Factory for Terraform (AFT) のサードパーティーバージョン管理システム (VCS) と設定ソースのオプションとして、GitLab と GitLab セルフマネージドをサポートするようになりました。

AWS Control Tower が AWS アジアパシフィック (マレーシア) リージョンで利用可能に

2024 年 10 月 21 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が AWS のアジアパシフィック (マレーシア) リージョンで利用可能になりました。

AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョン別のサービス表」を参照してください。

AWS Control Tower が OU あたり最大 1000 アカウントをサポート

2024 年 8 月 30 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、組織単位 (OU) あたりの最大許容アカウント数が 300 から 1000 に引き上げられました。これで、OU 構造を変更することなく、一度に最大 1000 AWS アカウント を AWS Control Tower ガバナンスに登録できます。OU の登録プロセスと再登録プロセスも効率化されたため、AWS Control Tower ベースラインリソースをアカウントにデプロイする際の所要時間が大幅に短縮されます。

利用可能な AWS CloudFormation スタックセットの数に制限があるため、一部のアカウントの制限が引き続き適用されます。具体的には、OU に登録できるアカウントの最大数は、管理下に置いているリージョンの数によって変わることがあります。詳細については、AWS Control Tower ユーザーガイドの基盤となる AWS サービスに基づく制限を参照してください。AWS Control Tower を使用できる AWS リージョン の完全なリストについては、「AWS リージョン 別のサービス表」を参照してください。

AWS Control Tower でランディングゾーンバージョンの選択が可能に

2024 年 8 月 15 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower ランディングゾーンバージョン 3.1 以降を実行している場合は、現在のバージョンのままでランディングゾーンを更新または修復することも、選択したバージョンにアップグレードすることもできます。これまで、ランディングゾーンを更新または修復するには、最新のランディングゾーンバージョンにアップグレードする必要がありました。

ランディングゾーンバージョンを選択することで、環境に加えられる可能性のある変更を評価しながら、バージョンのアップグレードをより柔軟に計画できます。ドリフトを修復してコンプライアンスを維持するか、ランディングゾーン設定を更新するか、最新のランディングゾーンバージョンにアップグレードするかを選択する必要はありません。ランディングゾーンバージョン 3.1 以降を実行している場合は、ランディングゾーン設定を更新またはリセットするときに、現在のバージョンを維持するか、新しいバージョンにアップグレードするかを選択できます。

記述的なコントロール API が利用可能になり、リージョンとコントロールへのアクセスが拡大

2024 年 8 月 6 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に、利用可能なコントロールの詳細情報をプログラムで確認するのに役立つ新しい API オペレーションが 2 つ追加されました。この機能により、自動化を使用したコントロールのデプロイが容易になります。

これらの API には、AWS Control Catalog 名前空間を介してアクセスします。 AWS Control Catalog は AWS Control Tower の一部であり、AWS Control Tower だけでなく、他の AWS のサービスの管理に役立つコントロールが含まれています。この拡張されたカタログは、複数の AWS サービスのコントロールを統合するため、セキュリティ、コスト、耐久性、オペレーションなどの一般的なユースケースに従って AWS コントロールを表示できます。詳細については、「Control Catalog API Reference」を参照してください。

リージョンの可用性の拡大

このリリース以降、AWS Control Tower ガバナンスを、(既に) 有効になっているコントロールの一部が利用できない AWS リージョン に拡張できます。また、管理対象リージョンの一部でコントロールがサポートされていない場合でも、より多くのリージョンで特定のコントロールを有効にできるようになりました。

これまで、AWS Control Tower では、有効なコントロールと管理対象リージョンのすべてで一貫性が維持されていなければ、ガバナンスをリージョンに拡張したり、コントロールを有効にしたりすることはできませんでした。このリリースでは、すべての有効なコントロールとすべての管理対象リージョンに対して設定が正しいことをより柔軟に責任を持って確認できます。AWS Control Tower コントロール APIs とコントロールカタログ APIs は、有効なコントロールで保護されている AWS リージョンと、追加のコントロールをデプロイできるリージョンに関する情報を取得するのに役立ちます。リージョンとコントロールの情報は、AWS Control Tower コンソールでも確認できます。

AWS Control Tower がオプトインリージョンで AFT と CfCT をサポート

2024 年 7 月 18 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

現在、AWS Control Tower カスタマイズフレームワーク Account Factory for Terraform (AFT) と Customizations for AWS Control Tower (CfCT) は、 AWS リージョンアジアパシフィック (ハイデラバード、ジャカルタ、大阪）、イスラエル (テルアビブ）、中東 (アラブ首長国連邦) の 5 つの追加で利用できます。

Account Factory for Terraform (AFT) は、AWS Control Tower でアカウントのプロビジョニングとカスタマイズに役立つ Terraform パイプラインを設定します。AWS Control Tower (CfCT) のカスタマイズは、 AWS CloudFormation テンプレートとサービスコントロールポリシー (SCPs) を使用して AWS Control Tower ランディングゾーンとアカウントをカスタマイズするのに役立ちます。

詳細については、「AWS Control Tower User Guide」の Account Factory for Terraform と AWS Control Tower のカスタマイズのページを参照してください。AFT の GitHub ページと CfCT の GitHub ページでリリースノートを確認することもできます。AFT と CfCT は、一部の例外を除き、すべての AWS リージョンでサポートされています。詳細については、「Region limitations」を参照してください。

AWS Control Tower に ListLandingZoneOperations API を追加

2024 年 6 月 26 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に、ランディングゾーンに最近適用されたオペレーションと現在進行中のオペレーションのリストを取得できる API が追加されました。この API は、最大で 90 日分のランディングゾーンオペレーションとその識別子の履歴を返すことができます。使用例については、「View the status of your landing zone operations」を参照してください。

ListLandingZoneOperations API の詳細については、「AWS Control Tower API Reference」の「ListLandingZoneOperations」を参照してください。

AWS Control Tower が最大 100 の同時コントロールオペレーションをサポート

2024 年 5 月 20 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が同時実行性の高い複数のコントロールオペレーションをサポートするようになりました。コンソールから、または API を使用して、複数の組織単位 (OU) にわたって最大 100 の AWS Control Tower コントロールオペレーションを同時に送信できます。最大 10 のオペレーションを同時に実行でき、追加のオペレーションはキューに入れられます。このようにして、反復的な制御操作による運用上の負担なしに AWS アカウント、複数の にまたがってより標準化された設定をセットアップできます。

進行中のコントロールオペレーションとキューに入れられたコントロールオペレーションのステータスをモニタリングするには、AWS Control Tower コンソールの新しい [最近の業務] ページに移動するか、新しい ListControlOperations API を呼び出します。

AWS Control Tower ライブラリには 500 を超えるコントロールが含まれており、さまざまなコントロールの目標、フレームワーク、サービスに対応しています。[保管中のデータを暗号化] などの特定のコントロールの目標については、1 つのコントロールオペレーションで複数のコントロールを有効にして、目標を達成できます。この機能により、開発スピードの向上、ベストプラクティスコントロールの導入の迅速化、運用の複雑さの軽減が可能になります。

AWS Control Tower が AWS のカナダ西部 (カルガリー) で利用可能に

2024 年 5 月 3 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

本日より、カナダ西部 (カルガリー) リージョンで AWS Control Tower をアクティブ化できます。既に AWS Control Tower をデプロイしている場合に、ガバナンス機能をこのリージョンに拡張するには、AWS Control Tower ランディングゾーン API を使用します。または、コンソールから AWS Control Tower ダッシュボードの [設定] ページに移動し、リージョンを選択して、ランディングゾーンを更新します。

カナダ西部 (カルガリー) リージョンは AWS Service Catalogをサポートしていません。このため、AWS Control Tower の一部の機能が異なります。機能の変更点として最も顕著なのは、Account Factory が利用できないことです。ホームリージョンとしてカナダ西部 (カルガリー) を選択した場合、アカウントの更新、アカウントのオートメーションの設定、および Service Catalog が関係するその他のプロセスが他のリージョンと異なります。

アカウントのプロビジョニング

カナダ西部 (カルガリー) リージョンで新しいアカウントを作成してプロビジョニングする場合は、AWS Control Tower の外部でアカウントを作成し、登録済みの OU に登録することをお勧めします。詳細については、「Enroll an existing account」と「Steps to enroll an account」を参照してください。

Service Catalog API は、カナダ西部 (カルガリー) リージョンでは利用できません。「Automate account provisioning in AWS Control Tower by Service Catalog APIs」に示されているスクリプトの例は機能しません。

Account Factory Customizations (AFC)、Account Factory for Terraform (AFT)、および AWS Control Tower のカスタマイズ (CfCT) は、AWS Control Tower の基盤となる他の依存関係がないため、カナダ西部 (カルガリー) では利用できません。ガバナンスをカナダ西部 (カルガリー) リージョンに拡張する場合、Service Catalog がホームリージョンで利用できる限り、AWS Control Tower がサポートするすべてのリージョンで AFC ブループリントを引き続き管理できます。

コントロール

AWS Security Hub サービスマネージドスタンダード: AWS Control Tower のプロアクティブコントロールとコントロールは、カナダ西部 (カルガリー) リージョンでは利用できません。予防コントロール CT.CLOUDFORMATION.PR.1 は、フックベースのプロアクティブコントロールのアクティブ化にのみ必要であるため、カナダ西部 (カルガリー) では利用できません。に基づく特定の検出コントロール AWS Config は使用できません。詳細については、「コントロールの制限事項」を参照してください。

ID プロバイダー

IAM アイデンティティセンターは、カナダ西部 (カルガリー) では利用できません。推奨されるベストプラクティスは、IAM アイデンティティセンターが利用可能なリージョンでランディングゾーンをセットアップすることです。または、カナダ西部 (カルガリー) で外部 ID プロバイダーを使用する場合、アカウントのアクセス設定を自己管理することもできます。

カナダ西部 (カルガリー) リージョンで Service Catalog を使用できない場合でも、AWS Control Tower でサポートされている他のリージョンには影響しません。これらの違いは、ホームリージョンがカナダ西部 (カルガリー) である場合にのみ適用されます。

AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョン別のサービス表」を参照してください。

AWS Control Tower がセルフサービスのクォータ調整をサポート

2024 年 4 月 25 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が Service Quotas コンソールを通じてセルフサービスのクォータ調整をサポートするようになりました。詳細については、「クォータ引き上げをリクエストする」を参照してください。

AWS Control Tower の「Controls Reference Guide」をリリース

2024 年 4 月 21 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower の「Controls Reference Guide」がリリースされました。これは、AWS Control Tower 環境に固有のコントロールに関する詳細情報が記載された新しいドキュメントです。これまで、この資料は「AWS Control Tower User Guide」に含まれていました。「Controls Reference Guide」では、コントロールについて拡張形式で説明しています。詳細については、「AWS Control Tower Controls Reference Guide」を参照してください。

AWS Control Tower で 2 つのプロアクティブコントロールを更新し、名前を変更

2024 年 3 月 26 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、Amazon OpenSearch Service の更新に合わせて 2 つのプロアクティブコントロールの名前が変更されました。

Amazon OpenSearch Service の最近のリリースに合わせて、この 2 つのコントロールのコントロール名とアーティファクトを更新しました。Amazon OpenSearch Service では、ドメインエンドポイントのセキュリティ用のトランスポートセキュリティオプションとして Transport Layer Security (TLS) バージョン 1.3 がサポートされるようになっています。

これらのコントロールでの TLSv1.3 のサポートを追加するために、コントロールのアーティファクトと名前を更新して、コントロールの意図を反映させました。サービスドメインの最小 TLS バージョンが評価されるようになりました。ご使用の環境でこの更新を行うには、コントロールを [無効] にしてから [有効] にして、最新のアーティファクトをデプロイする必要があります。

この変更の影響を受けるその他のプロアクティブコントロールはありません。これらのコントロールを確認して、コントロールの目標が確実に達成されるようにすることをお勧めします。

ご質問やご不明な点がある場合は、AWS サポートにお問い合わせください。

非推奨のコントロールが使用不可に

2024 年 3 月 12 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower でいくつかのコントロールが廃止されました。これらのコントロールは使用できなくなりました。

AWS Control Tower が でのEnabledControlリソースのタグ付けをサポート AWS CloudFormation

2024 年 2 月 22 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

この AWS Control Tower リリースでは、EnabledControl リソースの動作を更新することで、設定可能なコントロールとの連携を強化するとともに、AWS Control Tower 環境をオートメーションによって管理する機能を向上させています。このリリースでは、 AWS CloudFormation テンプレートを使用して設定可能な EnabledControl リソースにタグを追加できます。これまで、タグを追加できたのは AWS Control Tower コンソールと API を使用する場合のみでした。

AWS Control Tower の GetEnabledControl、EnableControl、ListTagsforResource API オペレーションは、EnabledControl リソースの機能を利用しているため、このリリースで更新されます。

詳細については、「Tagging EnabledControl resources in AWS Control Tower」と「AWS CloudFormation User Guide」の「EnabledControl」を参照してください。

AWS Control Tower がベースラインを使用した OU 登録と設定用の API をサポート

2024 年 2 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

これらの API は、EnableBaseline の呼び出しを使用したプログラムによる OU 登録をサポートします。OU でベースラインを有効にすると、OU 内のメンバーアカウントが AWS Control Tower ガバナンスに登録されます。特定の注意事項が適用される場合があります。例えば、AWS Control Tower コンソールを介して OU を登録すると、オプションのコントロールと必須のコントロールが有効になります。API を呼び出す際には、オプションのコントロールが有効になるように追加のステップを実行する必要が生じる場合があります。

AWS Control Tower ベースラインとは、OU とメンバーアカウントの AWS Control Tower ガバナンスのベストプラクティスを具体化したものです。例えば、OU でベースラインを有効にすると、OU 内のメンバーアカウントは、 AWS CloudTrail、IAM アイデンティティセンター AWS Config、必要な AWS IAM ロールなど、定義されたリソースグループを受け取ります。

特定のベースラインは、特定の AWS Control Tower ランディングゾーンバージョンと互換性があります。ランディングゾーン設定を変更する際、AWS Control Tower は互換性のある最新のベースラインをランディングゾーンに適用できます。詳細については、「OU ベースラインとランディングゾーンバージョンの互換性」を参照してください。

新しい API と定義済みのベースラインを使用すると、OU を登録して、OU のプロビジョニングワークフローを自動化できます。API では、既に AWS Control Tower のガバナンス下にある OU の管理も行えるため、ランディングゾーンの更新後に OU を再登録できます。APIs には リソースのサポート AWS CloudFormation EnabledBaselineが含まれており、Infrastructure as Code (IaC) を使用して OUsを管理できます。

これらの API の詳細については、「AWS Control Tower User Guide」の「Baselines」と「API Reference」を参照してください。新しい APIsは、 GovCloud (米国) リージョンを除き、AWS Control Tower が利用可能な AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。