ランディングゾーンをリセットしてドリフトを解決する - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ランディングゾーンをリセットしてドリフトを解決する

ランディングゾーンを作成するとき、ランディングゾーンとすべての組織単位 (OU)、アカウント、リソースは、選択したコントロールによって適用されるガバナンスルールに準拠します。ユーザーおよび組織のメンバーがランディングゾーンを使用する際、コンプライアンスステータスが変更されることがあります。これらの変更はドリフトと呼ばれます。

ランディングゾーンがドリフト状態かどうかを確認するには、GetLandingZone API を呼び出すことができます。この API は、ランディングゾーンのドリフトステータスとして DRIFTED または IN_SYNC を返します。

ランディングゾーン内のドリフトを解決するには、ResetLandingZone API を使用してランディングゾーンを元の設定にリセットできます。例えば、AWS Control Tower はデフォルトで IAM Identity Center を有効にして の管理を支援します AWS アカウントが、IAM Identity Center を無効にして元のランディングゾーンパラメータを設定すると、 を呼び出すと、その無効にされた IAM Identity Center 設定ResetLandingZoneが維持されます。

ResetLandingZone API を使用できるのは、利用可能な最新のランディングゾーンバージョンを使用している場合のみです。GetLandingZone API を呼び出して、ランディングゾーンバージョンを利用可能な最新バージョンと比較できます。必要に応じて、「ランディングゾーンを更新する 」を行うことで利用可能な最新バージョンをランディングゾーンで使用できます。これらの例では、バージョン 3.3 を最新バージョンとして使用しています。

  1. GetLandingZone API を呼び出します。API がドリフトステータスとして DRIFTED を返した場合、ランディングゾーンはドリフト状態です。

  2. ResetLandingZone API を呼び出して、ランディングゾーンを元の設定にリセットします。

    aws controltower reset-landing-zone --landing-zone-identifier "arn:aws:controltower:us-west-2:123456789123:landingzone/1A2B3C4D5E6F7G8H"

出力: 

{
   "operationIdentifier": "55XXXXXX-e2XX-41XX-a7XX-446XXXXXXXXX"
}
注記

ランディングゾーンをリセットしても、ランディングゾーンバージョンは更新されません。ランディングゾーンバージョンの更新の詳細については、「ランディングゾーンを更新する 」を参照してください。