AWS オプトインリージョンをアクティブ化する際の注意事項 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS オプトインリージョンをアクティブ化する際の注意事項

ほとんどの AWS リージョン は に対してデフォルトでアクティブですが AWS アカウント、特定のリージョンは手動で選択した場合にのみアクティブになります。このドキュメントでは、これらのリージョンをオプトインリージョンと呼んでいます。これとは対照的に、 が作成されるとすぐに、デフォルトでアクティブなリージョン AWS アカウント は商用リージョン、または単にリージョンと呼ばれます。

オプトインという用語には歴史的な根拠があります。2019 年 3 月 20 日以降に導入された AWS リージョン はすべてオプトインリージョンとみなされます。オプトインリージョンは、オプトインリージョンでアクティブなアカウントを介したIAMデータの共有に関して、商用リージョンよりもセキュリティ要件が高くなります。IAM サービスを通じて管理されるすべてのデータは、ユーザー、グループ、ロール、ポリシー、ID プロバイダー、関連するデータ (X.509 署名証明書やコンテキスト固有の認証情報など)、パスワードポリシーやアカウントエイリアスなどのアカウントレベルの設定を含む ID データと見なされます。

オプトインリージョンは、ランディングゾーン設定時に選択することで自動的にアクティブ化できます。ランディングゾーンは、選択したすべてのリージョンで有効になります。

AWS Control Tower のホームリージョンとしてオプトインリージョンを選択する場合は、まず「 AWS マネジメントコンソールにサインインしたときにリージョンを有効にする」の手順に従ってアクティブ化します。オプトインリージョンから既存のログアーカイブアカウントと監査アカウントを取得するには、まずそのリージョンを手動でアクティブ化します。

AWS オプトインリージョンには、AWSControl Tower が利用可能な複数のリージョンが含まれます。

  • アジアパシフィック (香港) リージョン、ap-east-1

  • アジアパシフィック (ジャカルタ) リージョン、ap-southeast-3

  • 欧州 (ミラノ) リージョン、eu-south-1

  • アフリカ (ケープタウン) リージョン、af-south-1

  • 中東 (バーレーン) リージョン、me-south-1

  • イスラエル (テルアビブ)、il-central-1

  • 中東 (UAE) リージョン、me-central-1

  • 欧州 (スペイン) リージョン、eu-south-2

  • アジアパシフィック (ハイデラバード) リージョン、ap-south-2

  • 欧州 (チューリッヒ) リージョン、eu-central-2

  • アジアパシフィック (メルボルン) リージョン、ap-southeast-4

  • カナダ西部 (カルガリー) リージョン、ca-west-1

AWS Control Tower には、オプトインリージョンと商用リージョンで動作が異なるコントロールがいくつかあります。詳細については、「コントロールの制限事項」を参照してください。オプトインリージョンにワークロードをデプロイする際に留意すべき点をいくつか紹介します。

管理かアクティブ化か?

リージョンの管理は、AWSコントロールをリージョンに適用できるように Control Tower コンソールから選択できるアクションであることに注意してください。オプトインリージョンをアクティブ化または非アクティブ化することは、 AWS コンソールで選択できるもう 1 つのアクションです。これにより、リージョンがアカウントで開かれ、そのリージョンにリソースとワークロードをデプロイできるようになります。

動作に関する注意事項

  • オプトインリージョンを管理する場合は、ワークロードの障害につながる可能性があるため、管理されたオプトインリージョンを非アクティブ化 (オプトアウト) しないことをお勧めします。 AWSControl Tower では、AWSControl Tower コンソール内から管理対象リージョンを非アクティブ化することはできませんが、 AWS 請求コンソールや などの AWS Control Tower 外のソースから管理対象リージョンを非アクティブ化しないでください AWS SDK。

  • AWS Control Tower がガバナンスをオプトインリージョンに拡張すると、すべてのメンバーアカウントのリージョンに対してアクティブ化 (オプトイン) されます。ガバナンスからリージョンを削除しても、AWSControl Tower はメンバーアカウントのリージョンを非アクティブ化 (オプトアウト) しません。

  • リージョンの選択解除中に、 AWS 請求コンソールや などの AWS Control Tower 外のソースからアカウントに対してそのリージョンが手動で非アクティブ化された場合、AWSControl Tower はオプトインリージョンからのリソースの削除をスキップします AWS SDK。非アクティブ化したリージョンからはリソースを削除することをお勧めします。そうしないと、それらのリソースに対して予想外の請求が発生する可能性があります。

  • ランディングゾーンが廃止されると、AWSControl Tower はオプトインリージョンを含むすべての管理対象リージョンのリソースをクリーンアップします。ただし、AWSControl Tower はオプトインリージョンを非アクティブ化しません。廃止後の追加手順として、オプトインリージョンを非アクティブ化できます。

  • ホームリージョンがオプトインリージョンで、既存のアカウントをログアーカイブアカウントと監査アカウントとして登録する場合、オプトインリージョンをランディングゾーンのホームリージョンとして選択する前に、オプトインリージョンを手動でアクティブ化する必要があります。リージョンを有効にするを参照

  • AWS Control Tower がオプトインリージョンをホームリージョンとして設定されており、他のリージョンの AWS コンソールから AWS Control Tower サービスにアクセスしても、コンソールによって自動的にホームリージョンにリダイレクトされることはありません。

  • 基盤となる APIには容量制限があり、リージョン、アカウント、サービス負荷の数によっては、レイテンシーが数分から数時間に増加する可能性があります。ベストプラクティスとして、ワークロードを実行する AWS リージョン にのみオプトインし、一度に 1 つのリージョンをオプトインします。

管理とアカウントに関する重要な制限

  • オプトインリージョンを含む AWS Control Tower が利用可能な 16 以上の商用リージョンが管理されている場合、OU の登録時に組織単位 (OU) あたりのアカウント数の上限が削減されます。詳細については、「基盤となる AWS サービスに基づく制限事項」を参照してください。