AWS Control Tower での設定更新管理
ランディングゾーンを最新の状態に保つのは、中央クラウド管理者のチームのメンバーの責任です。ランディングゾーンを更新すると、AWS Control Tower にパッチが適用され、更新されます。さらに、潜在的なコンプライアンスの問題からランディングゾーンを保護するために、中央クラウド管理者のチームのメンバーは、ドリフトの問題が検出され、報告されたらすぐに解決する必要があります。
注記
AWS Control Tower コンソールは、ランディングゾーンを更新する必要があるときを示します。更新するオプションが表示されていない場合、ランディングゾーンは既に最新です。
次の表に、AWS Control Tower ランディングゾーン更新リリースのリストと、各リリースの説明へのリンクを示します。
| バージョン | リリース日 | 説明 |
|---|---|---|
3.3 |
2023 年 12 月 12 日 |
|
3.2 |
2023 年 6 月 9 日 |
|
3.1 |
2023 年 2 月 9 日 |
|
3.0 |
2022 年 7 月 26 日 |
|
2.9 |
2022 年 4 月 22 日 |
|
2.8 |
2022 年 2 月 10 日 |
|
2.7 |
2021 年 4 月 8 日 |
|
2.6 |
2020 年 12 月 29 日 |
|
2.5 |
2020 年 11 月 18 日 |
|
2.4 |
なし |
なし |
2.3 |
2020 年 3 月 5 日 |
|
2.2 |
2019 年 11 月 13 日 |
|
2.1 |
2019 年 6 月 24 日 |
ランディングゾーンを更新するたびに、ランディングゾーンの設定を変更する機会があります。
更新の利点
-
管理対象リージョンを変更できる
-
ログの保持ポリシーを変更することができる
-
リージョン拒否コントロールを追加または削除できる
-
AWS KMS 暗号化キーを適用できる
-
組織レベルの CloudTrail 証跡をアクティブ化または非アクティブ化できる
-
ランディングゾーンのドリフトを解決できる
ランディングゾーンを更新すると、AWS Control Tower の最新機能が自動的に提供されます。[Landing zone settings] (ランディングゾーン設定) ページで現在のランディングゾーンのバージョンを確認してください。
更新が失敗しても、AWS Control Tower は以前のランディングゾーンバージョンにロールバックしません。ランディングゾーンが不確定な状態になる場合があります。その場合は、AWS サポートにお問い合わせください。更新の失敗をトラブルシューティングする方法の詳細については、「ランディングゾーンを更新できない」を参照してください。
ランディングゾーンを更新するとき、未使用の AWS ID Center (以前の AWS SSO) のマッピングを消去できます。詳細については、「Field Notes: Clear Unused IAM Identity Center Mappings Automatically During AWS Control Tower Upgrades
更新とリセットの前提条件 — リクエスタ支払いをオフにする
ランディングゾーンを更新またはリセットする前に、ログアーカイブアカウントの Amazon S3 ログ記録バケットで、[リクエスタ支払い] 機能が有効になっていないことを確認します。[更新] または [リセット] プロセスを開始する前に、この機能をオフにする必要があります。AWS Control Tower がログ記録バケットを設定するときに、この機能は有効化されません。したがって、この機能をオフにする必要があるのは、後でユーザーがリクエスタ支払い機能を有効にした場合のみです。詳細については、「CloudTrail の Amazon S3 バケットポリシー」と「リクエスタ支払いバケットの使用」を参照してください。
