ステップ 1: 共有アカウントの E メールアドレスを作成する

新しい AWS アカウントでランディングゾーンを設定する場合は、「セットアップ」を参照してください。

新しい共有アカウントを使用してランディングゾーンをセットアップするには、AWS Control Tower に、AWS アカウントアカウントにまだ関連付けられていない 2 つの一意の E メールアドレスが必要です。これらの E メールアドレスは、それぞれ共同受信箱として機能します。つまり、企業内で AWS Control Tower に関連する特定の作業を行うさまざまなユーザーの共有 E メールアカウントとなります。
AWS Control Tower を初めてセットアップし、既存のセキュリティアカウントとログアーカイブアカウントを AWS Control Tower に持ち込む場合は、既存の AWS アカウントの現在の E メールアドレスを入力できます。

この E メールアドレスは以下に必要です。

監査アカウント - このアカウントは、AWS Control Tower によって提供される監査情報にアクセスする必要があるユーザーのチーム用です。また、環境のプログラムによる監査を実行してコンプライアンス目的の監査に役立つサードパーティー製ツールのアクセスポイントとして、このアカウントを使用することもできます。
ログアーカイブアカウント - このアカウントは、ランディングゾーンで登録済み OU 内のすべての登録済みアカウントに関するログ情報にアクセスする必要があるユーザーのチーム用です。

これらのアカウントは、ランディングゾーンの作成時にセキュリティ OU にセットアップされます。ベストプラクティスとして、これらのアカウントでアクションを実行するときは、適切なスコープの許可を持つ IAM Identity Center ユーザーを使用することをお勧めします。

注記

既存の AWS アカウントを監査アカウントやログアーカイブアカウントとして指定する場合は、AWS Control Tower の要件と競合するリソースがないことを確認するために、既存のアカウントはいくつかの事前起動チェックに合格する必要があります。これらのチェックが成功しない場合、ランディングゾーンのセットアップは成功しない可能性があります。特に、アカウントには既存の AWS Config リソースが存在してはいけません。詳細については、「既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項」を参照してください。

わかりやすくするために、このユーザーガイドでは常に共有アカウントをログアーカイブおよび監査というデフォルト名で参照しています。これらのアカウントをカスタマイズする場合は、このドキュメントを参照するときに、アカウントに付けたカスタマイズ後の名前に読み替えてください。[Account details] (アカウントの詳細) ページでは、カスタマイズした名前でアカウントを参照できます。

注記

AWS マルチアカウント戦略に即して、一部の AWS Control Tower 組織単位 (OU) のデフォルト名に関する用語を変更中です。こうした名称をわかりやすくするための移行を進めていますが、まだ統一されていない部分もあります。セキュリティ OU は以前はコア OU と呼ばれていました。サンドボックス OU は、以前はカスタム OU と呼ばれていました。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ランディングゾーン設定に対する想定

ステップ 2. ランディングゾーンの設定と起動