AWS オプトインリージョンをアクティブ化する際の注意事項 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS オプトインリージョンをアクティブ化する際の注意事項

ほとんどの AWS リージョン はデフォルトでアクティブですが AWS アカウント、特定のリージョンは手動で選択した場合にのみアクティブになります。このドキュメントでは、これらのリージョンをオプトインリージョンと呼んでいます。対照的に、デフォルトでアクティブなリージョン AWS アカウント は、 が作成されるとすぐに商用リージョン 、または単にリージョン と呼ばれます。

オプトインという用語には歴史的な根拠があります。2019 年 3 月 20 日以降に AWS リージョン 導入された は、オプトインリージョンと見なされます。オプトインリージョンは、オプトインリージョンでアクティブなアカウントを介したIAMデータの共有に関して、商用リージョンよりも高いセキュリティ要件があります。IAM サービスを通じて管理されるすべてのデータは、ユーザー、グループ、ロール、ポリシー、アイデンティティプロバイダー、それらの関連データ (X.509 署名証明書やコンテキスト固有の認証情報など)、パスワードポリシーやアカウントエイリアスなどの他のアカウントレベルの設定を含むアイデンティティデータと見なされます。

オプトインリージョンは、ランディングゾーン設定時に選択することで自動的にアクティブ化できます。ランディングゾーンは、選択したすべてのリージョンで有効になります。

AWS Control Tower のホームリージョンとしてオプトインリージョンを選択する場合は、 AWS マネジメントコンソールにサインインするときに、リージョンを有効にする のステップに従って、まずオプトインリージョンをアクティブ化します。オプトインリージョンから既存のログアーカイブアカウントと監査アカウントを取得するには、まずそのリージョンを手動でアクティブ化します。

AWS オプトインリージョンには、AWSControl Tower が利用可能な複数のリージョンが含まれます。

  • アジアパシフィック (香港) リージョン、ap-east-1

  • アジアパシフィック (ジャカルタ) リージョン、ap-southeast-3

  • 欧州 (ミラノ) リージョン、eu-south-1

  • アフリカ (ケープタウン) リージョン、af-south-1

  • 中東 (バーレーン) リージョン、me-south-1

  • イスラエル (テルアビブ)、il-central-1

  • 中東 (UAE) リージョン、me-central-1

  • 欧州 (スペイン) リージョン、eu-south-2

  • アジアパシフィック (ハイデラバード) リージョン、ap-south-2

  • 欧州 (チューリッヒ) リージョン、eu-central-2

  • アジアパシフィック (メルボルン) リージョン、(ap-southeast-4)

  • カナダ西部 (カルガリー) リージョン、ca-west-1

AWS Control Tower には、オプトインリージョンと商用リージョンで動作が異なるコントロールがあります。詳細については、「コントロールの制限事項」を参照してください。オプトインリージョンにワークロードをデプロイする際に留意すべき点をいくつか紹介します。

管理かアクティブ化か?

リージョンの管理は、AWSコントロールをリージョンに適用できるように Control Tower コンソールから選択できるアクションであることに注意してください。オプトインリージョンをアクティブ化または非アクティブ化することは、 AWS コンソールで選択できるもう 1 つのアクションです。これにより、リージョンがアカウントで開かれ、そのリージョンにリソースとワークロードをデプロイできるようになります。

動作に関する注意事項

  • オプトインリージョンを管理する場合は、ワークロードの障害につながる可能性があるため、管理対象のオプトインリージョンを非アクティブ化(オプトアウト)しないことをお勧めします。AWS Control Tower では、AWSControl Tower コンソール内からの管理対象リージョンの非アクティブ化は許可されませんが、 AWS 請求コンソールや などの AWS Control Tower 外のソースから管理対象リージョンを非アクティブ化しないでください AWS SDK。

  • AWS Control Tower がガバナンスをオプトインリージョンに拡張すると、すべてのメンバーアカウントのリージョンをアクティブ化 (オプトイン) します。ガバナンスからリージョンを削除しても、AWSControl Tower はメンバーアカウントのリージョンを非アクティブ化 (オプトアウト) しません。

  • リージョンの選択解除中、AWSControl Tower は、 AWS 請求コンソールや など、AWSControl Tower 外のソースからアカウントに対してそのリージョンが手動で非アクティブ化された場合、オプトインリージョンからのリソースの削除をスキップします AWS SDK。非アクティブ化したリージョンからはリソースを削除することをお勧めします。そうしないと、それらのリソースに対して予想外の請求が発生する可能性があります。

  • ランディングゾーンが廃止された場合、AWSControl Tower はオプトインリージョンを含むすべての管理対象リージョンのリソースをクリーンアップします。ただし、AWSControl Tower はオプトインリージョンを非アクティブ化しません。廃止後の追加手順として、オプトインリージョンを非アクティブ化できます。

  • ホームリージョンがオプトインリージョンで、既存のアカウントをログアーカイブアカウントと監査アカウントとして登録する場合、オプトインリージョンをランディングゾーンのホームリージョンとして選択する前に、オプトインリージョンを手動でアクティブ化する必要があります。リージョンを有効にするを参照

  • AWS Control Tower がオプトインリージョンをホームリージョンとして設定されていて、他のリージョンの AWS コンソールから AWS Control Tower サービスにアクセスすると、コンソールは自動的にホームリージョンにリダイレクトされません。

  • 基盤APIには容量制限があり、リージョン、アカウント、サービス負荷の数によっては、レイテンシーが数分から数時間に増加する可能性があります。ベストプラクティスとして、ワークロードを実行する AWS リージョン にのみオプトインし、一度に 1 つのリージョンにオプトインします。

ガバナンスとアカウントの重要な制限

  • オプトインリージョンを含む AWS Control Tower が利用可能な 16 以上の商用リージョンが管理されている場合、OU を登録すると、組織単位 (OU) あたりのアカウント数の上限が削減されます。詳細については、「基盤となる AWS サービスに基づく制限」を参照してください。