2025 年 1 月~現在
2025 年 1 月以降、AWS Control Tower は次の更新をリリースしました。
AWS Control Tower が、アジアパシフィック (ニュージーランド) リージョンで利用可能に
2025 年 10 月 28 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が、アジアパシフィック (ニュージーランド) リージョンで利用可能になりました。
AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョン別のサービス表
AWS Control Tower が自動アカウント登録をサポート
2025 年 10 月 15 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower ランディングゾーンバージョン 3.1 以降を運用しているお客様は、AWS Control Tower で OU にアカウントを自動登録できるようになりました。アカウントの自動登録をオプトインすると、AWS Control Tower は、OU の有効なベースラインリソースとコントロールを新しい OU に移動するときにアカウントに適用します。前の OU のコントロールとベースラインは削除されます。ほとんどの場合、このアクションによってドリフトは作成されません。
自動登録を有効にするには: AWS Control Tower コンソールのランディングゾーンの [設定] ページでアカウントの自動登録を選択するか、RemediationType パラメータの値を継承ドリフトに設定して AWS Control Tower CreateLandingZone または UpdateLandingZone API を呼び出します。
自動登録を適用するには: [設定] ページでこのオプションを選択した後、AWS Organizations コンソール、 AWS Organizations MoveAccount API、または AWS Control Tower コンソールを使用してアカウントを移動できます。
自動登録を使用してアカウントの登録を解除するには: 登録されている OU の外部にアカウントを移動すると、AWS Control Tower はデプロイされたすべてのベースラインとコントロールを自動的に削除します。
自動登録の詳細については、「オプションでアカウントの自動登録を設定する」を参照してください。
このリリースには、 管理ポリシーと新しい 管理ポリシーの更新も含まれています。AWSControlTowerServiceRolePolicy を更新し、新しい AWSControlTowerIdentityCenterManagementPolicy を追加しました。
AWS Control Tower CreateLandingZone と UpdateLandingZone API を更新して、Inheritance Drift という名前の新しい RemediationType を追加しました。
AWS Control Tower が Python バージョンを更新
2025 年 9 月 3 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
Python のバージョン 3.9 は非推奨です。AWS Control Tower は、AWS Control Tower 環境で Python のバージョンを更新しました。アクションは必要なく、この更新は既存のワークロードに影響しません。
AWS Control Tower がドリフトを低減
2025 年 8 月 20 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、サービスコントロールポリシードリフトの機能を更新しました。このリリースでは、2 種類のガバナンスドリフトが AWS Control Tower によって直接処理され、環境でドリフトが発生しなくなりました。
2 種類のガバナンスドリフトが削除
マネージド OU にアタッチされた SCP - このタイプのドリフトは、コントロールの SCP が他の OU にアタッチされたときに発生しました。AWS Control Tower コンソールの外部から OU を更新したときに発生するのが特に一般的です。
メンバーアカウントにアタッチされた SCP - このタイプのドリフトは、コントロールの SCP が AWS Control Tower コンソールの外部からアカウントにアタッチされたときによく発生します。
ドリフトの詳細については、「Detect and resolve drift in AWS Control Tower」(AWS Control Tower でドリフトを検出して解決する) を参照してください。
AWS Control Tower が IPv6 アドレスをサポート
2025 年 8 月 18 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower API は、新しいデュアルスタックエンドポイントを通じてインターネットプロトコルバージョン 6 (IPv6) アドレスをサポートするようになりました。IPv4 をサポートする既存のエンドポイントは、下位互換性のために引き続き利用可能です。新しいデュアルスタックドメインは、インターネットから、または AWS PrivateLink
Account Factory for Terraform バージョン 1.15.0 が利用可能に
2025 年 7 月 28 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower Account Factory for Terraform (AFT) のバージョン 1.15.0 が利用可能になりました。詳細については、「the AFT GitHub repository
Nitro インスタンスタイプでコントロールを更新
2025 年 7 月 24 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、Amazon EC2 インスタンスタイプを実施する Control Catalog (以前は Control Library と呼ばれていました) の 8 つのプロアクティブコントロールを更新しました。この更新により、いくつかの新しい Nitro インスタンスタイプをインスタンス化し、非推奨の u-series インスタンスタイプを削除できます。
更新されたコントロール
新しいインスタンスタイプが利用可能に
c8gdc8gni7im8gdp6-b200r8gd
削除されたインスタンスタイプ
u-12tb1u-18tb1u-24tb1u-9tb1
更新されたコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能なリージョンのリストについては、「AWS リージョン Table
AWS Control Tower がアジアパシフィック (台北) リージョンで利用可能に
2025 年 7 月 23 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower がアジアパシフィック (台北) リージョンで利用可能になりました。
AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョン別のサービス表
AWS Control Tower が PrivateLink をサポート
2025 年 6 月 30 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が AWS PrivateLink
追加の業界フレームワークのサポート、メタデータの更新
2025 年 6 月 12 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
このリリースで、AWS Control Tower が 10 の業界フレームワークのサポートを含むように拡張されました。フレームワークのリストについては、「Frameworks supported」を参照してください。
例えば、初めに AWS Control Tower コンソールの [Control Catalog] ページに移動し、PCI-DSS-v4.0 などのフレームワークを検索して、そのフレームワークに関連するすべてのコントロールを表示できます。または、新しい ListControlMappings API を呼び出して、プログラムを使用してコントロールとフレームワークを調べることができます。
コントロールに関連するメタデータ定義は、これらの追加の業界フレームフックのサポートを向上させるために変更されています。メタデータの変更は、有効化のコントロールを評価する方法に影響を与える可能性があります。例えば、NIST、PCI、CIS メタデータの値が変更されることがあります。コンソールの [コントロールの詳細] ページで、有効なコントロールのマッピングを確認することをお勧めします。
コンソールと API で、3 つの新しいメタデータフィールドが導入されました。まとめると、これらのフィールドは、コントロールを分類して有効化する方法を理解するのに役立つ階層を記述します。フィールドは、ドメイン、目的、一般的なコントロールです。利用可能な幅広い業界フレームワークに合わせてコントロールの目的を再定義しました。この階層の詳細については、「Ontology overview」を参照してください。
-
これらのメタデータの変更は、AWS Control Tower コンソールに反映され、コンソールのエクスペリエンスは AWS Control Tower と AWS Config コンソール全体で一貫しています。
-
AWS Control Tower コンソールでコントロール情報を表示するには、IAM ポリシーに
controlcatalogのアクセス許可を追加する必要があります。詳細については、「Permissions required to use the AWS Control Tower console」(AWS Control Tower コンソールを使用するために必要なアクセス許可) を参照してください。 -
各コントロールに、コントロールが管理するリソースタイプを示す
GovernedResourcesという新しいフィールドが追加されました。場合によっては、このフィールドにリソースのサービスプレフィックスが表示され、他のインスタンスでは空白になることがあります。詳細については、「GetControl」および「ListControls」を参照してください。
このリリースでは、他の用語との整合性のため、コントロールライブラリという名前を Control Catalog に変更しました。
サービスにリンクされた AWS Config コントロール
2025 年 6 月 12 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、サービスにリンクされた AWS Config ルールとしてデプロイされる AWS Control Tower 検出コントロールのサポートを発表しました。
このリリースでは、AWS Control Tower がサービスにリンクされた Config ルールを登録済みアカウントに直接デプロイし、以前のデプロイ方法は AWS CloudFormation スタックセットに置き換えられるようになりました。この変更により、デプロイの速度が大幅に向上します。また、これらのサービスにリンクされた Config ルールは、CloudFormation スタックセットまたは Config ルールの手動変更によって発生する可能性のある意図しない設定ドリフトを防ぐため、リソースの一貫性のあるガバナンスを確保するのに役立ちます。
今後、AWS Config ルールによって実装されるすべての AWS Control Tower コントロールは、AWS Config API を直接呼び出すこのメカニズムを使用してデプロイされます。
重要
サービスにリンクされた Config ルールを採用する前に、AWS Control Tower の外部の Config ルールに行った修復などの既存のカスタマイズを確認してください。これらのカスタマイズは移行中に削除されます。AWS Config API は、サービスにリンクされた AWS Config ルールの修正設定の追加をサポートしていません。を参照してください。。PutRemediationConfigurations
詳細と必要なアクション
-
ランディングゾーンを更新またはリセットすると、AWS Control Tower はセキュリティ OU を管理する必須コントロールを更新します。アップグレードを完了するには、AWS Config ルールで実装されている各検出コントロールをリセットするか、OU を再登録する必要があります。
-
このアップグレードの全範囲は、AWS Control Tower ランディングゾーンのバージョンが 3.2 以降の場合に適用されます。この更新を適用すると、新しいデプロイ方法と共に、既存の AWS Config ルールがサービスマネージド Config ルールに変更されます。
-
ランディングゾーンがバージョン 3.1 以下の場合、新しい Config ルールは新しいメソッドでデプロイされ、スタックセットではデプロイされなくなります。既存の Config ルールは、サービスマネージド Config ルールに更新されません。標準タイプのままになります。
-
サービスにリンクされた設定ルールは、以下の形式のようなリソース ARN で識別できます。
arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
サービスにリンクされた AWS Config ルールによって実装されたコントロールの意図される機能は変更されていません。AWS Control Tower の検出サービスにリンクされた Config ルールは、ポリシー違反など、アカウント内の非準拠リソースを識別し、ダッシュボードを介してアラートを提供できます。一貫性を維持し、設定ドリフトを防ぎ、全体的なユーザーエクスペリエンスを簡略化するために、これらのルールは AWS Control Tower を介してのみ変更できるようになりました。
このリリースの一部として、サービスにリンクされたロール (SLR) AWSServiceRoleForAWSControlTower のポリシーに 4 つの新しいアクセス許可が追加されました。これにより、登録されたアカウントのサービスにリンクされた AWS Config ルールを有効化または無効化できます。
config:DescribeConfigRules config:TagResource config:PutConfigRule config:DeleteConfigRule
有効なコントロールコンソールビューによる一元的な可視性
2025 年 5 月 21 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、有効なすべてのコントロールを 1 つの一元化されたビューに表示する新しいページをコンソールに追加しました。以前は、コントロールはそのアカウントまたは有効化された OU でのみ表示できました。統合ビューを使用すると、コントロールガバナンスのギャップを簡単に大規模に特定できます。
[有効なコントロール] ページで、予防、検出、またはプロアクティブの動作に従ってコントロールをフィルタリングできます。SCP などのコントロール実装に従ってフィルタリングすることもできます。コントロールごとに、このコントロールが有効になっている OU の数を確認できます。
[有効なコントロール] ページを表示するには、AWS Control Tower コンソールの [コントロール] セクションに移動します。
Account Factory for Terraform (AFT) がデプロイ時に新しい設定をサポート
2025 年 5 月 13 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower アカウントカスタマイズフレームワーク Account Factory for Terraform (AFT) は、デプロイ時に 3 つの追加のオプション設定をサポートするようになりました。AFT をカスタム仮想プライベートクラウド (VPC) にデプロイし、AFT デプロイの Terraform プロジェクト名を指定し、AFT が作成するリソースにタグ付けすることができます。
詳細については、「Deploy AWS Control Tower Account Factory for Terraform (AFT)」を参照してください。
AWS Control Tower がベースライン API のアカウントレベルのレポートを導入
2025 年 5 月 12 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
ベースライン API を呼び出すことで、管理対象アカウントのドリフトとアカウント登録ステータスをプログラムで表示できるようになりました。この機能を使用すると、アカウントと OU のベースライン設定がいつドリフトするか、または同期しなくなるかを特定できます。プログラムでドリフトステータスを表示するには、有効なベースラインに ListEnabledBaselines API を呼び出します。ListEnabledBaselines API を使用して個々のアカウントのステータスをプログラムで表示するには、includeChildren フラグを使用します。これらのステータスでフィルタリングし、注意が必要なアカウントと OU のみを表示できます。
AWSControlTowerBaseline は、ガバナンスに必要なベストプラクティスの設定、コントロール、リソースを設定します。組織単位 (OU) でこのベースラインを有効化すると、OU 内のメンバーアカウントは自動的に AWS Control Tower に登録されます。AWS Control Tower ベースライン API には CloudFormation サポートが含まれており、Infrastructure as Code (IaC) を使用して OUとアカウントを管理するオートメーションを構築できます。
これらの API の詳細については、「AWS Control Tower ユーザーガイド」の「Baselines」を確認してください。ベースライン API とドリフトとアカウント登録ステータスの新しく起動されたレポート機能は、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、「AWS リージョン Table
AWS Control Tower が AWS アジアパシフィック (タイ) とメキシコ (中部) リージョンで利用可能に
2025 年 5 月 9 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、以下の AWS リージョンで利用可能になりました。
アジアパシフィック (タイ)
メキシコ (中部)
AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョン別のサービス表
利用可能な追加の AWS Config コントロール
2025 年 4 月 11 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、セキュリティ、コスト、耐久性、オペレーションなど、さまざまなユースケースでさらに 223 のマネージド AWS Config ルールをサポートするようになりました。このリリースでは、AWS Control Tower を使用して、マルチアカウント環境を管理するために必要な AWS Config ルールを検索して検出し、AWS Control Tower から直接コントロールを有効化して管理できるようになりました。
AWS Control Tower コンソールから開始するには、Control Catalog に移動し、実装フィルター AWS Config を使用してコントロールを検索します。AWS Control Tower コンソールから直接コントロールを有効化できます。
詳細については、「Integrated AWS Config controls available in AWS Control Tower」を参照してください。
このリリースにより、ListControls および GetControl API が更新され、CreateTime、Severity度、Implementationの 3 つの新しいフィールドがサポートされるようになりました。これらは Control Catalog でコントロールを検索するときに使用できます。例えば、前回の評価後に作成された重要度の高い AWS Config ルールをプログラムで検索できるようになりました。
AWS Control Tower が利用可能なすべての AWS リージョン で新しい AWS Config ルールを検索できます。ルールをデプロイするには、そのルールでサポートされている AWS リージョン のリストを参照して、有効化できる場所を確認します。
OU のアクションの登録解除と削除
2025 年 4 月 8 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、OU の登録を解除し、OU を削除する別のコンソールアクションをサポートするようになりました。OU を削除する前に、登録を解除する必要があります。登録を解除することによって、AWS Control Tower から OU を削除できます。
詳細については、「OU を削除する」を参照してください。
Control Catalog が IPv6 アドレスをサポート
2025 年 4 月 2 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower Control Catalog API は、新しいデュアルスタックエンドポイントを通じてインターネットプロトコルバージョン 6 (IPv6) アドレスをサポートするようになりました。IPv4 をサポートする既存の Control Catalog エンドポイントは、下位互換性のために引き続き利用可能です。新しいデュアルスタックドメインは、インターネットから、または AWS PrivateLink
