AWS Control Tower リソースの作成と変更に関するガイダンス

管理アカウント、共有アカウント、メンバーアカウントのリソースなど、AWSControl Tower によって作成されたリソースを変更または削除しないでください。これらのリソースを変更すると、ランディングゾーンの更新または OU の再登録が必要になる場合があります。また、変更によってコンプライアンスレポートが不正確になる可能性があります。

特に、次のことに注意してください。

SCPs または AWS Security Token Service () AWS リージョン を介した の使用を許可しないでくださいAWS STS。これにより、AWSControl Tower が未定義状態になります。でリージョンを禁止すると AWS STS、それらのリージョンでは認証が利用できなくなるため、機能は失敗します。代わりに、コントロールに示されている AWS Control Tower のリージョン拒否機能、ランディングゾーンレベルで機能するリクエスト AWS された に基づいて へのアクセスを拒否 AWS リージョンする、またはリージョンへのアクセスを制限する OU レベルで機能する OU に適用されるコントロールリージョン拒否コントロールに依存します。

は適用 AWS Organizations FullAWSAccessSCPする必要があり、他の とマージしないでくださいSCPs。これへの変更はドリフトとして報告SCPされませんが、特定のリソースへのアクセスが拒否された場合、一部の変更は予測不可能な方法で AWS Control Tower の機能に影響を与える可能性があります。例えば、 SCPがデタッチまたは変更されると、アカウントは AWS Config レコーダーにアクセスできなくなったり、 CloudTrail ログ記録にギャップが生じる可能性があります。

を使用して AWS Organizations DisableAWSServiceAccessAPI、ランディングゾーンを設定した組織への AWS Control Tower サービスアクセスをオフにしないでください。その場合、特定の AWS Control Tower ドリフト検出機能は、 からのメッセージングサポートがないと正しく機能しない可能性があります AWS Organizations。これらのドリフト検出機能は、AWSControl Tower が組織内の組織単位、アカウント、コントロールのコンプライアンスステータスを正確に報告できるようにするのに役立ちます。詳細については、「」を参照してくださいAPI_DisableAWSServiceAccess 「 リファレンス」の AWS Organizations API「��

一般に、AWSControl Tower は一度に 1 つのアクションを実行します。これは、別のアクションを開始する前に完了する必要があります。例えば、コントロールを有効にするプロセスが進行中にアカウントをプロビジョニングしようとすると、アカウントのプロビジョニングは失敗します。

例外:

登録した各 OU は最大 1000 アカウントに設定することをお勧めします。これにより、新しいリージョンをガバナンス用に構成する場合など、アカウントの更新が必要なときはいつでも [OU を再登録] 機能によってこれらのアカウントを更新できます。

OU あたりのアカウント数は 1000 に制限されていますが、OU の登録にかかる時間を短縮するには、OU あたりのアカウント数を 680 程度にしておくことをお勧めします。原則として、OU の登録に必要な時間は、OU が運用しているリージョンの数に、OU のアカウント数を掛けた数に応じて増加します。

概算で、680 個のアカウントを持つ OU の場合、コントロールの登録と有効化に最大 2 時間、再登録に最大 1 時間かかります。また、コントロールが多い OU は、コントロールが少ない OU よりも登録に時間がかかります。

OU の登録に長い期間かかることに関する懸念事項の 1 つは、このプロセスが他のアクションをブロックすることです。お客様によっては、各 OU でより多くのアカウントを許可したいため、OU の登録や再登録に時間がかかっても構わない場合もあります。