ランディングゾーンのセットアップに関する管理上のヒント

• 最も作業を行う AWS リージョンは、ホームリージョンである必要があります。

• ランディングゾーンを設定し、ホームリージョン内から Account Factory アカウントをデプロイします。

• 複数の AWS リージョンに投資する場合は、クラウドリソースが、ほとんどのクラウド管理作業を行い、ワークロードを実行するリージョンにあることを確認してください。

• ワークロードとログを同じ AWS リージョンに維持することで、リージョン間でログ情報の移動と取得に関連するコストを削減できます。

• 監査およびその他の Amazon S3 バケットは、AWSControl Tower を起動するのと同じ AWS リージョンに作成されます。これらのバケットを移動しないことをお勧めします。

• ログアーカイブアカウントで独自のログバケットを作成できますが、お勧めできません。AWS Control Tower によって作成されたバケットは必ず残してください。

• Amazon S3 アクセスログは、ソースバケットと同じ AWS リージョンにある必要があります。

• 起動時に、AWSControl Tower でサポートされているすべてのリージョンで、 AWS セキュリティトークンサービス (STS) エンドポイントを管理アカウントでアクティブ化する必要があります。この操作を行わないと、設定プロセスの途中で起動が失敗する可能性があります。

• AWS Control Tower は、有効なコントロールのタグ付けのみをサポートしています。詳細については、「AWS Control Tower が有効なコントロールのタグ付けをサポート」を参照してください。

• AWS Control Tower が管理するすべてのアカウントで多要素認証 (MFA) を有効にすることをお勧めします。

に関する考慮事項 VPCs

• AWS Control Tower によってVPC作成された は、AWSControl Tower が利用可能な AWS リージョン に限定されます。サポートされていないリージョンでワークロードを実行する一部のお客様は、Account Factory アカウントでVPC作成された を無効にしたい場合があります。Service Catalog ポートフォリオVPCを使用して新しい を作成するか、必要なリージョンでのみVPC実行されるカスタムを作成することをお勧めします。

• AWS Control Tower によってVPC作成された は、すべての に対してVPC作成されたデフォルトと同じではありません AWS アカウント。AWS Control Tower がサポートされているリージョンでは、AWSControl Tower は AWS Control Tower の作成VPC時にデフォルトを削除しますVPC。

• ホーム AWS リージョンVPCでデフォルトを削除する場合は、他のすべての AWS リージョンで削除することをお勧めします。