ランディングゾーンのセットアップに関する管理上のヒント

• 作業が最も多い AWS リージョンは、ホームリージョンである必要があります。

• ランディングゾーンを設定し、ホームリージョン内から Account Factory アカウントをデプロイします。

• 複数の AWS リージョンに投資する場合は、クラウドリソースが、クラウド管理作業のほとんどを行い、ワークロードを実行するリージョンにあることを確認してください。

• ワークロードとログを同じ AWS リージョンに保持することで、リージョン間でのログ情報の移動と取得に関連するコストを削減できます。

• 監査およびその他の Amazon S3 バケットは、AWS Control Tower を起動するのと同じ AWS リージョンに作成されます。これらのバケットを移動しないことをお勧めします。

• ログアーカイブアカウントで独自のログバケットを作成できますが、お勧めできません。AWS Control Tower によって作成されたバケットは、必ず残してください。

• Amazon S3 アクセスログは、ソースバケットと同じ AWS リージョンに存在する必要があります。

• 起動時に、AWS Control Tower でサポートされているすべてのリージョンで、 AWS Security Token Service (STS) エンドポイントを管理アカウントでアクティブ化する必要があります。この操作を行わないと、設定プロセスの途中で起動が失敗する可能性があります。

• AWS Control Tower では、有効になっているコントロールのみのタグ付けがサポートされます。詳細については、「AWS Control Tower が、有効になっているコントロールのタグ付けをサポート」を参照してください。

• AWS Control Tower が管理するすべてのアカウントで、多要素認証 (MFA) を有効にすることをお勧めします。

VPC に関する考慮事項

• AWS Control Tower によって作成された VPC は、AWS Control Tower AWS リージョン が利用可能な に限定されます。サポート対象外のリージョンでワークロードを実行する一部のお客様は、Account Factory アカウントで作成された VPC を無効にすることをお勧めします。この場合、Service Catalog ポートフォリオを使用して新しい VPC を作成するか、必要なリージョンでのみ実行されるカスタム VPC を作成することもできます。

• AWS Control Tower によって作成された VPC は、すべての AWS アカウント用に作成されたデフォルト VPC とは異なります。AWS Control Tower がサポートされているリージョンでは、AWS Control Tower は AWS Control Tower VPC の作成時にデフォルトの VPC を削除します。

• ホーム AWS リージョンでデフォルト VPC を削除する場合は、他のすべての AWS リージョンで削除することをお勧めします。