AWS オプトインリージョンをアクティブ化する際の注意事項 - AWS Control Tower

AWS オプトインリージョンをアクティブ化する際の注意事項

ほとんどのAWS リージョンはデフォルトでAWS アカウントに対してアクティブになっていますが、特定のリージョンは手動で選択した場合にのみアクティブ化されます。このドキュメントでは、これらのリージョンをオプトインリージョンと呼んでいます。これに対して、AWS アカウント 作成後すぐにデフォルトでアクティブになるリージョンは、商用リージョン、または単にリージョンと呼ばれます。

オプトインという用語には歴史的な根拠があります。2019 年 3 月 20 日以降に導入された AWS リージョン はすべてオプトインリージョンとみなされます。オプトインリージョンには、オプトインリージョンでアクティブなアカウントを通じた IAM データの共有に関して、商用リージョンよりも高いセキュリティ要件があります。ユーザー、グループ、ロール、ポリシー、ID プロバイダー、関連データ (X.509 署名証明書やコンテキスト固有の認証情報など)、パスワードポリシーやアカウントエイリアスなどの他のアカウントレベルの設定を含む、IAM サービスを通じて管理されるすべてのデータは ID データと見なされます。

オプトインリージョンは、ランディングゾーン設定時に選択することで自動的にアクティブ化できます。ランディングゾーンは、選択したすべてのリージョンで有効になります。

AWS Control Tower のホームリージョンとしてオプトインリージョンを選択する場合は、まずAWS マネジメントコンソールにサインインしたときに、「リージョンを有効にする」の手順に従ってアクティブ化してください。オプトインリージョンから既存のログアーカイブアカウントと監査アカウントを取得するには、まずそのリージョンを手動でアクティブ化します。

AWS オプトインリージョンには、AWS Control Tower が利用可能なリージョンがいくつか含まれています。

  • アジアパシフィック (香港) リージョン、ap-east-1

  • アジアパシフィック (ジャカルタ) リージョン、ap-southeast-3

  • 欧州 (ミラノ) リージョン、eu-south-1

  • アフリカ (ケープタウン) リージョン、af-south-1

  • 中東 (バーレーン) リージョン、me-south-1

  • イスラエル (テルアビブ)、il-central-1

  • 中東 (UAE) リージョン、me-central-1

  • 欧州 (スペイン) リージョン、eu-south-2

  • アジアパシフィック (ハイデラバード) リージョン、ap-south-2

  • 欧州 (チューリッヒ) リージョン、eu-central-2

  • アジアパシフィック (メルボルン) リージョン、ap-southeast-4

  • カナダ西部 (カルガリー) リージョン、ca-west-1

AWS Control Tower には、オプトインリージョンと商用リージョンでは動作が異なるコントロールがいくつかあります。詳細については、「コントロールの制限事項」を参照してください。オプトインリージョンにワークロードをデプロイする際に留意すべき点をいくつか紹介します。

管理かアクティブ化か?

リージョンの管理は AWS Control Tower コンソールから選択できるアクションであるため、リージョンにコントロールを適用できることを忘れないでください。オプトインリージョンをアクティブ化または非アクティブ化することは、AWS コンソールで選択できるもう 1 つのアクションです。これにより、リージョンがアカウントで開かれ、そのリージョンにリソースとワークロードをデプロイできるようになります。

動作に関する注意事項

  • オプトインリージョンを管理する場合は、ワークロードの障害につながる可能性があるため、管理対象のオプトインリージョンを非アクティブ化(オプトアウト)しないことをお勧めします。AWS Control Tower では、AWS Control Tower コンソール内から管理対象リージョンを非アクティブ化することはできませんが、AWS 請求コンソールまたは AWS SDK など、AWS Control Tower 外部のソースから管理対象リージョンを非アクティブ化しないでください。

  • AWS Control Tower がガバナンスをオプトインリージョンに拡張すると、すべてのメンバーアカウントでそのリージョンがアクティブ化 (オプトイン) されます。リージョンを管理から削除しても、AWS Control Tower はメンバーアカウントのリージョンを非アクティブ化 (オプトアウト) しません。

  • リージョンの選択を解除する間、AWS Control Tower はオプトインリージョンからのリソースの削除をスキップします。そのリージョンが、AWS請求コンソールやAWS SDK などの AWS Control Tower 外部のソースからのアカウントに対して手動で非アクティブ化された場合です。非アクティブ化したリージョンからはリソースを削除することをお勧めします。そうしないと、それらのリソースに対して予想外の請求が発生する可能性があります。

  • ランディングゾーンが廃止された場合、AWS Control Tower はオプトインリージョンを含むすべての管理対象リージョンのリソースをクリーンアップします。ただし、AWS Control Tower では、オプトインリージョンが非アクティブ化されません。廃止後の追加手順として、オプトインリージョンを非アクティブ化できます。

  • ホームリージョンがオプトインリージョンで、既存のアカウントをログアーカイブアカウントと監査アカウントとして登録する場合、オプトインリージョンをランディングゾーンのホームリージョンとして選択する前に、オプトインリージョンを手動でアクティブ化する必要があります。リージョンを有効にするを参照

  • AWS Control Tower がホームリージョンとしてオプトインリージョンを設定していて、他の任意のリージョンの AWS コンソールから AWS Control Tower サービスにアクセスしても、コンソールはユーザーをホームリージョンに自動的にリダイレクトしません。

  • 基盤となる API には容量制限があり、リージョンの数、アカウント数、サービスの負荷によっては、レイテンシーが数分から数時間に増加する可能性があります。ベストプラクティスとしては、ワークロードを実行する AWS リージョン のみにオプトインし、一度に 1 つのリージョンをオプトインします。

管理とアカウントに関する重要な制限

  • AWS Control Tower が利用可能な 16 を超える商用リージョン (オプトインリージョンを含む) が管理されている場合、OU を登録する際の組織単位 (OU) あたりのアカウント数の上限が引き下げられます。詳細については、「Limitations based on underlying AWS services」を参照してください。