チュートリアル: VPC を使用せずに AWS Control Tower を設定する - AWS Control Tower
AWS Control Tower VPC を削除する AWS Control Tower で VPC なしのアカウントを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: VPC を使用せずに AWS Control Tower を設定する

このトピックでは、VPC を使用せずに AWS Control Tower アカウントを設定する方法について説明します。

ワークロードに VPC が必要ない場合は、次の操作を実行できます。

  • AWS Control Tower 仮想プライベートクラウド (VPC) を削除できます。この VPC は、ランディングゾーンの設定時に作成されます。

  • VPC が関連付けられていない新しい AWS Control Tower アカウントが作成されるように、Account Factory 設定を変更できます。

重要

VPC インターネットアクセス設定を有効にしてAccount Factory アカウントをプロビジョニングすると、そのAccount Factory 設定は、顧客が管理する Amazon VPC インスタンスのインターネットアクセスを許可しないコントロールよりも優先されます。新しくプロビジョニングされたアカウントのインターネットアクセスを有効にしないようにするには、Account Factory で設定を変更する必要があります。

AWS Control Tower VPC を削除する

AWS Control Tower 以外では、 AWS すべてのお客様にデフォルト VPC があります。デフォルト VPC は、https://console.aws.amazon.com/vpc/ の Amazon Virtual Private Cloud (Amazon VPC) コンソールで確認できます。デフォルトの VPC は、その名前の末尾に必ず単語 (default) が含まれているため判別できます。

AWS コントロールタワーのlanding zone を設定すると、AWS Control Tower AWS はデフォルト VPC を削除し、新しい AWS Control Tower のデフォルト VPC を作成します。新しい VPC は、AWS Control Tower 管理アカウントに関連付けられます。このトピックでは、この新しい VPC を Control Tower VPC と呼びます。

Amazon VPC コンソールで AWS Control Tower VPC を表示すると、その名前の末尾に単語 (default) は表示されません。複数の VPC がある場合は、割り当てられた CIDR 範囲を使用して、該当する AWS Control Tower VPC を特定する必要があります。

AWS Control Tower VPC は削除できますが、後で AWS Control Tower で VPC が必要になった場合は、自分で作成する必要があります。

AWS Control Tower VPC を削除するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. VPC を検索するか、Service Catalog のオプションから [VPC] を選択します。[VPC Dashboard] (VPC ダッシュボード) が表示されます。

  3. 左側のメニューから、[Your VPCs] (お使いの VPC) を選択します。すべての自分の VPC が一覧表示されます。

  4. AWS Control Tower VPC をその CIDR 範囲で特定します。

  5. VPC を削除するには、[Actions] (アクション)、[Delete VPC] (VPC の削除) の順に選択します。

AWS Control Tower 管理アカウント用の AWS (デフォルト) VPC は、すべてのリージョンにすでに存在しています。セキュリティのベストプラクティスに従うため、AWS Control Tower VPC を削除する場合は、 AWS 管理アカウントに関連付けられているデフォルト VPC AWS もすべてのリージョンから削除するのが最善です。したがって、管理アカウントをセキュリティで保護するには、各リージョンからデフォルトの VPC を削除し、AWS Control Tower ホームリージョンの Control Tower によって作成された VPC も削除します。

AWS Control Tower で VPC なしのアカウントを作成する

エンドユーザーのワークロードに VPC が不要である場合は、この方法を使用して、VPC が自動作成されないユーザーアカウントを設定できます。

AWS Control Tower ダッシュボードから、ネットワーク設定を表示および編集できます。関連付けられた VPC なしで AWS Control Tower アカウントが作成されるように設定を変更すると、設定を再度変更するまでは、すべての新しいアカウントが VPC なしで作成されます。

VPC なしのアカウントを作成するように Account Factory を設定するには

  1. ウェブブラウザを開き、AWS Control Tower コンソール (https://console.aws.amazon.com/controltower) に移動します。

  2. 左側のメニューから、[Account Factory] を選択します。

  3. [Account Factory] ページに [Network Configuration] (ネットワーク設定) セクションが表示されます。

  4. 後で復元する場合のために、現在の設定を書き留めておきます。

  5. [Network Configuration] (ネットワーク設定) セクションで [Edit] (編集) ボタンを選択します。

  6. [Edit account factory network configuration] (Account Factory ネットワーク設定の編集) ページで、[VPC Configuration options for new accounts] (新規アカウント用の VPC 設定オプション) セクションに移動します。

    [Option 1] (オプション 1) または [Option 2] (オプション 2)、あるいはその両方に従って、アカウントのプロビジョニング時に AWS Control Tower が VPC を作成しないようにします。

    1. オプション 1 — サブネットの削除

      • [Internet-accessible subnet] (インターネットアクセス可能なサブネット) のトグルスイッチをオフにします。

      • [Maximum number of private subnets] (プライベートサブネットの最大数) の値を 0 に設定します。

    2. オプション 2 — リージョンの削除 AWS

      • [Regions for VPC creation] (VPC 作成のリージョン) 列のすべてのチェックボックスをオフにします。

  7. [保存] を選択します。

起こり得るエラー

AWS Control Tower VPC を削除したり、VPC なしのアカウントを作成するように Account Factory を再設定したりするときは、以下のエラーが起こる場合があるため注意してください。

  • 既存の管理アカウントには、AWS Control Tower VPC の依存関係やリソースが含まれている場合があります。これにより、削除エラーが発生する可能性があります。

  • VPC なしで新しいアカウントを起動するように設定するときにデフォルトの CIDR を残したままにすると、リクエストは失敗し、CIDR が無効であるというエラーが発生します。