翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2024 年 1 月～12 月

2024 年、AWS Control Tower は次の更新をリリースしました。

AWS Control Tower CfCT が GitHub と RCP をサポート

2024 年 12 月 9 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、サードパーティーのバージョン管理システム (VCS) のオプションとして GitHub をサポートし、AWS Control Tower のカスタマイズ (CFCT) の設定ソースをサポートするようになりました。詳細については、「GitHub を設定ソースとしてセットアップする」を参照してください。

AWS Control Tower は、AWS Control Tower のカスタマイズ (CFCT) のリソースコントロールポリシー (RCP) をサポートするようになりました。詳細については、「CfCT カスタマイズガイド」を参照してください。

AWS Control Tower に宣言型ポリシーを使用した予防コントロールを追加

2024 年 12 月 1 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、宣言ポリシーによって実装される予防コントロールをサポートするようになりましたAWS Organizations。宣言型ポリシーは、サービスレベルで直接適用されます。このアプローチにより、サービスによって新機能や API が導入された場合でも、指定された設定が適用されます。詳細については、「宣言型ポリシーを使用して実装されるコントロール」を参照してください。

AWS Control Tower に規範バックアッププランオプションを追加

2024 年 11 月 25 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、ランディングゾーンにデータのバックアップと復旧ワークフローを直接組み込める規範的なAWS Backupプランをサポートするようになりました。バックアッププランには、保持日数、バックアップの頻度、バックアップが発生する時間枠などの事前定義済みのルールが含まれます。これらのルールは、管理対象メンバーアカウント全体でAWSリソースをバックアップする方法を定義します。ランディングゾーンにバックアッププランを適用すると、AWS Control Tower は、プランがすべてのメンバーアカウントで一貫しており、AWS Backup からのベストプラクティスの推奨事項と一致していることを確認します。

詳細については、「AWS Backup と AWS Control Tower」を参照してください。

AWS Control Tower はAWS Configコントロールを統合します

2024 年 11 月 21 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は選択したAWS Configコントロールを統合しているため、AWS Control Tower で表示および管理できます。

詳細については、「AWS Control Tower で使用可能な、統合されたAWS Configコントロール」を参照してください。

AWS Control Tower でフック管理を改善し、プロアクティブコントロールリージョンを追加

2024 年 11 月 20 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

このリリースでは、AWS Control Tower による制限なしに、CloudFormationフックの全容量を利用できます。また、プロアクティブコントロールは、カナダ西部 (カルガリー) リージョンとアジアパシフィック (マレーシア) リージョンでも利用可能です。

以前は、AWS Control Tower のみが変更できるように、環境内のすべてのCloudFormationフックを CT.CLOUDFORMATION.PR.1 コントロールで保護する必要がありました。このリリースでは、AWS Control Tower サービスで以前必要だった制限なしに、CloudFormationフックをデプロイし、これらのフックを変更できます。

現在、プロアクティブコントロールをデプロイしている場合は、この改善されたフック機能に移行できます。OU のすべてのプロアクティブコントロールをリセットするには、その OU でアクティブな 1 つのプロアクティブコントロールをリセットします。リセットは、ResetEnabledControl API を呼び出すか、コンソールからコントロールを更新し、リセット機能を使用して実行できます。プロアクティブコントロールにこのリセットタスクを完了すると、AWS Control Tower は OU のすべてのプロアクティブコントロールフックを新しい機能に移行します。プロアクティブコントロールをデプロイする OU ごとにこのプロセスを繰り返します。

プロアクティブコントロールをリセットした後、別の目的でコントロールを有効化していない限り、AWS Control Tower OU の CT.CLOUDFORMATION.PR.1 コントロールを削除します。CT.CLOUDFORMATION.PR.1 コントロールをオフにしない場合、他のCloudFormationフックを作成および変更することはできません。

詳細については、「プロアクティブコントロールのフックを更新する」を参照してください。

AWS Control Tower がマネージドリソースコントロールポリシーを起動

2024 年 11 月 15 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、リソースコントロールポリシー (RCP) で実装された新しいタイプの予防コントロールを提供します。これらのコントロールは、AWS Control Tower 環境全体でデータ境界を確立し、意図しないアクセスからリソースを保護するのに役立ちます。

例えば、Amazon S3、、AWS Security Token ServiceAWS Key Management Service Amazon SQS、およびAWS Secrets Managerサービスの RCP ベースのコントロールを有効にできます。RCP ベースのコントロールは、個々のバケットポリシーに付与されたアクセス許可に関係なく、「組織の Amazon S3 リソースが組織に属する IAM プリンシパルまたはAWSサービスによってのみアクセス可能であることを要求」などの要件を適用できます。

新しい RCP ベースのコントロールと特定の既存の SCP ベースの予防コントロールを設定して、プリンシパルとリソースのAWS IAM 免除を指定できます。プリンシパルまたはリソースをコントロールによって管理しない場合、免除を設定できます。

AWS Control Tower で予防コントロール、予防コントロール、検出コントロールを組み合わせることで、マルチアカウントAWS環境が AWS Foundational Security Best Practices 標準などのベストプラクティスに従ってセキュアで管理されているかどうかをモニタリングできます。

これらの新しい RCP ベースの予防コントロールは、AWS Control Tower AWS リージョンが利用可能な で使用できます。AWS Control Tower が利用可能なAWS リージョンの完全なリストについては、表を参照してくださいAWS リージョン。

AWS Control Tower によるコントロールポリシードリフトの報告

2024 年 11 月 15 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、リソースコントロールポリシー (RCPs) で実装されたコントロール、および Security Hub CSPM サービスマネージドスタンダード: AWS Control Tower の一部であるコントロールについて、コントロールポリシーのドリフトを報告するようになりました。このタイプのドリフトは、新しい ResetEnabledControl API を通じて修正できます。詳細については、「Types of governance drift」を参照してください。

新しい ResetEnabledControl API

2024 年 11 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、コントロールドリフトをプログラムで管理するのに役立つ新しい API を発表しました。コントロールドリフトを修復し、意図した設定にコントロールをリセットできます。ResetEnabledControl API は、強く推奨されるコントロールや選択的コントロールを含め、オプションの AWS Control Tower コントロールを操作します。

コントロールドリフトは、AWS Organizationsコンソールなどから AWS Control Tower コントロールが AWS Control Tower の外部で変更されたときに発生します。ドリフトを解決することで、ガバナンス要件のコンプライアンスを確保できます。

コントロールカタログの GetControl API の更新

2024 年 11 月 8 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、すべてのコントロールの Implementation タイプと設定可能な特定のコントロール Parameters の 2 つの新しいフィールドを含む、更新された GetControl API をサポートするようになりました。

GetControl API は AWS Control Towerの controlcatalog 名前空間の一部です。

詳細については、「Control Catalog API リファレンス」の「GetControl API」を参照してください。

AWS Control Tower AFT が GitLab をサポート

2024 年 10 月 23 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、Account Factory for Terraform (AFT) のサードパーティーバージョン管理システム (VCS) と設定ソースのオプションとして、GitLab と GitLab セルフマネージドをサポートするようになりました。

AWSアジアパシフィック (マレーシア) リージョンで AWS Control Tower が利用可能に

2024 年 10 月 21 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower がAWSのアジアパシフィック (マレーシア) リージョンで利用可能になりました。

AWS Control Tower を使用できるリージョンの全リストについては、「AWSリージョン別のサービス表」を参照してください。

AWS Control Tower が OU あたり最大 1000 アカウントをサポート

2024 年 8 月 30 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、組織単位 (OU) あたりの最大許容アカウント数が 300 から 1000 に引き上げられました。これで、OU 構造を変更することなく、一度に最大 1000 AWS アカウントを AWS Control Tower ガバナンスに登録できます。OU の登録プロセスと再登録プロセスも効率化されたため、AWS Control Tower ベースラインリソースをアカウントにデプロイする際の所要時間が大幅に短縮されます。

利用可能なCloudFormationスタックセットの数に制限があるため、一部のアカウントの制限が引き続き適用されます。具体的には、OU に登録できるアカウントの最大数は、管理下に置いているリージョンの数によって変わることがあります。詳細については、AWS Control Tower ユーザーガイドの基盤となるAWSサービスに基づく制限を参照してください。AWS Control Tower を使用できるAWS リージョンの完全なリストについては、「AWS リージョン別のサービス表」を参照してください。

AWS Control Tower でランディングゾーンバージョンの選択が可能に

2024 年 8 月 15 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower ランディングゾーンバージョン 3.1 以降を実行している場合は、現在のバージョンのままでランディングゾーンを更新または修復することも、選択したバージョンにアップグレードすることもできます。これまで、ランディングゾーンを更新または修復するには、最新のランディングゾーンバージョンにアップグレードする必要がありました。

ランディングゾーンバージョンを選択することで、環境に加えられる可能性のある変更を評価しながら、バージョンのアップグレードをより柔軟に計画できます。ドリフトを修復してコンプライアンスを維持するか、ランディングゾーン設定を更新するか、最新のランディングゾーンバージョンにアップグレードするかを選択する必要はありません。ランディングゾーンバージョン 3.1 以降を実行している場合は、ランディングゾーン設定を更新またはリセットするときに、現在のバージョンを維持するか、新しいバージョンにアップグレードするかを選択できます。

記述的なコントロール API が利用可能になり、リージョンとコントロールへのアクセスが拡大

2024 年 8 月 6 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に、利用可能なコントロールの詳細情報をプログラムで確認するのに役立つ新しい API オペレーションが 2 つ追加されました。この機能により、自動化を使用したコントロールのデプロイが容易になります。

これらの API には、AWS Control Catalog 名前空間を介してアクセスします。AWS Control Catalog は AWS Control Tower の一部であり、AWS Control Tower だけでなく、他のAWSのサービスの管理に役立つコントロールが含まれています。この拡張カタログは、複数のAWSサービスのコントロールを統合するため、セキュリティ、コスト、耐久性、オペレーションなどの一般的なユースケースに従ってAWSコントロールを表示できます。詳細については、「Control Catalog API Reference」を参照してください。

リージョンの可用性の拡大

このリリース以降、AWS Control Tower ガバナンスを、(既に) 有効になっているコントロールの一部が利用できないAWS リージョンに拡張できます。また、管理対象リージョンの一部でコントロールがサポートされていない場合でも、より多くのリージョンで特定のコントロールを有効にできるようになりました。

これまで、AWS Control Tower では、有効なコントロールと管理対象リージョンのすべてで一貫性が維持されていなければ、ガバナンスをリージョンに拡張したり、コントロールを有効にしたりすることはできませんでした。このリリースでは、すべての有効なコントロールとすべての管理対象リージョンに対して設定が正しいことをより柔軟に責任を持って確認できます。AWS Control Tower コントロール APIs とコントロールカタログ APIs は、有効なコントロールで保護されているAWSリージョンと、追加のコントロールをデプロイできるリージョンに関する情報を取得するのに役立ちます。リージョンとコントロールの情報は、AWS Control Tower コンソールでも確認できます。

AWS Control Tower がオプトインリージョンで AFT と CfCT をサポート

2024 年 7 月 18 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

現在、AWS Control Tower カスタマイズフレームワーク Account Factory for Terraform (AFT) と Customizations for AWS Control Tower (CfCT) は、AWS リージョンアジアパシフィック (ハイデラバード、ジャカルタ、大阪）、イスラエル (テルアビブ）、中東 (アラブ首長国連邦) の 5 つの追加で利用できます。

Account Factory for Terraform (AFT) は、AWS Control Tower でアカウントのプロビジョニングとカスタマイズに役立つ Terraform パイプラインを設定します。AWS Control Tower (CfCT) のカスタマイズは、CloudFormationテンプレートとサービスコントロールポリシー (SCPs) を使用して AWS Control Tower ランディングゾーンとアカウントをカスタマイズするのに役立ちます。

詳細については、「AWS Control Tower User Guide」の Account Factory for Terraform と AWS Control Tower のカスタマイズのページを参照してください。AFT の GitHub ページと CfCT の GitHub ページでリリースノートを確認することもできます。AFT と CfCT は、一部の例外を除き、すべてのAWSリージョンでサポートされています。詳細については、「Region limitations」を参照してください。

AWS Control Tower に ListLandingZoneOperations API を追加

2024 年 6 月 26 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に、ランディングゾーンに最近適用されたオペレーションと現在進行中のオペレーションのリストを取得できる API が追加されました。この API は、最大で 90 日分のランディングゾーンオペレーションとその識別子の履歴を返すことができます。使用例については、「View the status of your landing zone operations」を参照してください。

ListLandingZoneOperations API の詳細については、「AWS Control Tower API Reference」の「ListLandingZoneOperations」を参照してください。

AWS Control Tower が最大 100 の同時コントロールオペレーションをサポート

2024 年 5 月 20 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が同時実行性の高い複数のコントロールオペレーションをサポートするようになりました。コンソールから、または API を使用して、複数の組織単位 (OU) にわたって最大 100 の AWS Control Tower コントロールオペレーションを同時に送信できます。最大 10 のオペレーションを同時に実行でき、追加のオペレーションはキューに入れられます。このようにして、反復的な制御操作の運用上の負担をかけずにAWS アカウント、複数の にまたがってより標準化された設定をセットアップできます。

進行中のコントロールオペレーションとキューに入れられたコントロールオペレーションのステータスをモニタリングするには、AWS Control Tower コンソールの新しい [最近の業務] ページに移動するか、新しい ListControlOperations API を呼び出します。

AWS Control Tower ライブラリには 500 を超えるコントロールが含まれており、さまざまなコントロールの目標、フレームワーク、サービスに対応しています。[保管中のデータを暗号化] などの特定のコントロールの目標については、1 つのコントロールオペレーションで複数のコントロールを有効にして、目標を達成できます。この機能により、開発スピードの向上、ベストプラクティスコントロールの導入の迅速化、運用の複雑さの軽減が可能になります。

AWS Control Tower がAWSのカナダ西部 (カルガリー) で利用可能に

2024 年 5 月 3 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

本日より、カナダ西部 (カルガリー) リージョンで AWS Control Tower をアクティブ化できます。既に AWS Control Tower をデプロイしている場合に、ガバナンス機能をこのリージョンに拡張するには、AWS Control Tower ランディングゾーン API を使用します。または、コンソールから AWS Control Tower ダッシュボードの [設定] ページに移動し、リージョンを選択して、ランディングゾーンを更新します。

カナダ西部 (カルガリー) リージョンはAWS Service Catalogをサポートしていません。このため、AWS Control Tower の一部の機能が異なります。機能の変更点として最も顕著なのは、Account Factory が利用できないことです。ホームリージョンとしてカナダ西部 (カルガリー) を選択した場合、アカウントの更新、アカウントのオートメーションの設定、および Service Catalog が関係するその他のプロセスが他のリージョンと異なります。

アカウントのプロビジョニング

カナダ西部 (カルガリー) リージョンで新しいアカウントを作成してプロビジョニングする場合は、AWS Control Tower の外部でアカウントを作成し、登録済みの OU に登録することをお勧めします。詳細については、「Enroll an existing account」と「Steps to enroll an account」を参照してください。

Service Catalog API は、カナダ西部 (カルガリー) リージョンでは利用できません。「Automate account provisioning in AWS Control Tower by Service Catalog APIs」に示されているスクリプトの例は機能しません。

Account Factory Customizations (AFC)、Account Factory for Terraform (AFT)、および AWS Control Tower のカスタマイズ (CfCT) は、AWS Control Tower の基盤となる他の依存関係がないため、カナダ西部 (カルガリー) では利用できません。ガバナンスをカナダ西部 (カルガリー) リージョンに拡張する場合、Service Catalog がホームリージョンで利用できる限り、AWS Control Tower がサポートするすべてのリージョンで AFC ブループリントを引き続き管理できます。

コントロール

AWS Security Hub CSPMサービスマネージドスタンダード: AWS Control Tower のプロアクティブコントロールとコントロールは、カナダ西部 (カルガリー) リージョンでは利用できません。予防コントロール CT.CLOUDFORMATION.PR.1 は、フックベースのプロアクティブコントロールのアクティブ化にのみ必要であるため、カナダ西部 (カルガリー) では利用できません。に基づく特定の検出コントロールAWS Configは使用できません。詳細については、「コントロールの制限事項」を参照してください。

ID プロバイダー

IAM アイデンティティセンターは、カナダ西部 (カルガリー) では利用できません。推奨されるベストプラクティスは、IAM アイデンティティセンターが利用可能なリージョンでランディングゾーンをセットアップすることです。または、カナダ西部 (カルガリー) で外部 ID プロバイダーを使用する場合、アカウントのアクセス設定を自己管理することもできます。

カナダ西部 (カルガリー) リージョンで Service Catalog を使用できない場合でも、AWS Control Tower でサポートされている他のリージョンには影響しません。これらの違いは、ホームリージョンがカナダ西部 (カルガリー) である場合にのみ適用されます。

AWS Control Tower を使用できるリージョンの全リストについては、「AWSリージョン別のサービス表」を参照してください。

AWS Control Tower がセルフサービスのクォータ調整をサポート

2024 年 4 月 25 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が Service Quotas コンソールを通じてセルフサービスのクォータ調整をサポートするようになりました。詳細については、「クォータ引き上げをリクエストする」を参照してください。

AWS Control Tower の「Controls Reference Guide」をリリース

2024 年 4 月 21 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower の「Controls Reference Guide」がリリースされました。これは、AWS Control Tower 環境に固有のコントロールに関する詳細情報が記載された新しいドキュメントです。これまで、この資料は「AWS Control Tower User Guide」に含まれていました。「Controls Reference Guide」では、コントロールについて拡張形式で説明しています。詳細については、「AWS Control Tower Controls Reference Guide」を参照してください。

AWS Control Tower で 2 つのプロアクティブコントロールを更新し、名前を変更

2024 年 3 月 26 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、Amazon OpenSearch Service の更新に合わせて 2 つのプロアクティブコントロールの名前が変更されました。

Amazon OpenSearch Service の最近のリリースに合わせて、この 2 つのコントロールのコントロール名とアーティファクトを更新しました。Amazon OpenSearch Service では、ドメインエンドポイントのセキュリティ用のトランスポートセキュリティオプションとして Transport Layer Security (TLS) バージョン 1.3 がサポートされるようになっています。

これらのコントロールでの TLSv1.3 のサポートを追加するために、コントロールのアーティファクトと名前を更新して、コントロールの意図を反映させました。サービスドメインの最小 TLS バージョンが評価されるようになりました。ご使用の環境でこの更新を行うには、コントロールを [無効] にしてから [有効] にして、最新のアーティファクトをデプロイする必要があります。

この変更の影響を受けるその他のプロアクティブコントロールはありません。これらのコントロールを確認して、コントロールの目標が確実に達成されるようにすることをお勧めします。

ご質問やご不明な点がある場合は、AWSサポートにお問い合わせください。

非推奨のコントロールが使用不可に

2024 年 3 月 12 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower でいくつかのコントロールが廃止されました。これらのコントロールは使用できなくなりました。

AWS Control Tower が でのEnabledControlリソースのタグ付けをサポートCloudFormation

2024 年 2 月 22 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

この AWS Control Tower リリースでは、EnabledControl リソースの動作を更新することで、設定可能なコントロールとの連携を強化するとともに、AWS Control Tower 環境をオートメーションによって管理する機能を向上させています。このリリースでは、CloudFormationテンプレートを使用して設定可能な EnabledControl リソースにタグを追加できます。これまで、タグを追加できたのは AWS Control Tower コンソールと API を使用する場合のみでした。

AWS Control Tower の GetEnabledControl、EnableControl、ListTagsforResource API オペレーションは、EnabledControl リソースの機能を利用しているため、このリリースで更新されます。

詳細については、「Tagging EnabledControl resources in AWS Control Tower」と「CloudFormation User Guide」の「EnabledControl」を参照してください。

AWS Control Tower がベースラインを使用した OU 登録と設定用の API をサポート

2024 年 2 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

これらの API は、EnableBaseline の呼び出しを使用したプログラムによる OU 登録をサポートします。OU でベースラインを有効にすると、OU 内のメンバーアカウントが AWS Control Tower ガバナンスに登録されます。特定の注意事項が適用される場合があります。例えば、AWS Control Tower コンソールを介して OU を登録すると、オプションのコントロールと必須のコントロールが有効になります。API を呼び出す際には、オプションのコントロールが有効になるように追加のステップを実行する必要が生じる場合があります。

AWS Control Tower ベースラインとは、OU とメンバーアカウントの AWS Control Tower ガバナンスのベストプラクティスを具体化したものです。たとえば、OU でベースラインを有効にすると、OU 内のメンバーアカウントは、AWS CloudTrail、、IAM Identity Center AWS Config、必要な IAM AWSロールなど、定義されたリソースグループを受け取ります。

特定のベースラインは、特定の AWS Control Tower ランディングゾーンバージョンと互換性があります。ランディングゾーン設定を変更する際、AWS Control Tower は互換性のある最新のベースラインをランディングゾーンに適用できます。詳細については、「OU ベースラインとランディングゾーンバージョンの互換性」を参照してください。

新しい API と定義済みのベースラインを使用すると、OU を登録して、OU のプロビジョニングワークフローを自動化できます。API では、既に AWS Control Tower のガバナンス下にある OU の管理も行えるため、ランディングゾーンの更新後に OU を再登録できます。APIs にはCloudFormationEnabledBaselineリソースのサポートが含まれており、Infrastructure as Code (IaC) を使用して OUsを管理できます。

これらの API の詳細については、「AWS Control Tower User Guide」の「Baselines」と「API Reference」を参照してください。新しい APIsは、GovCloud (米国) リージョンを除き、AWS Control Tower が利用可能なAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、AWS リージョン表を参照してください。