翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
2025 年 1 月~2025 年 12 月
2025 年 1 月以降、AWS Control Tower は次の更新をリリースしました。
AWS Control Tower ランディングゾーンバージョン 4.0
2025 年 11 月 17 日
(AWS Control Tower ランディングゾーンをバージョン 4.0 に更新する必要があります。 詳細については、「」を参照してくださいランディングゾーンを更新する)。
AWS Control Tower ランディングゾーン 4.0 は、柔軟な Controls-Only エクスペリエンスを導入する主要な更新プログラムであり、お客様は AWS マルチアカウント環境の実装と管理方法をカスタマイズできます。このリリースでは、AWS Control Tower が AWS サービスと統合し、組織リソースを管理する方法が大幅に変更されました。主な変更点については、「」を参照してくださいLanding Zone v4.0 移行ガイド。
主な変更点と機能
-
オプションのサービス統合 - ランディングゾーン 4.0 では、環境で有効にするサービス統合を選択できます。統合を無効にすると、マネージドアカウントとサービス統合中央アカウントで、その統合に固有の AWS Control Tower デプロイ済みリソースがクリーンアップされます。サービス統合を選択的に有効または無効にできるようになりました。
AWS Config
AWS CloudTrail
セキュリティロール
AWS Backup
重要: AWS Config 統合を無効にする場合は、セキュリティロール、IAM アイデンティティセンター、AWS Backup 統合も無効にする必要があります。
-
共有リソースを使用する代わりに専有リソース - ランディングゾーン 4.0 がキーサービス専用のリソースを作成するようになりました。この分離により、リソースの分離が改善され、サービス固有のリソースをより詳細に制御できます。
AWS Config の個別の S3 バケット
AWS CloudTrail 用に S3 バケットを分離する
各サービスの個々の SNS トピック
-
Flexible Organization Structure - ランディングゾーン 4.0 は、以前の組織構造要件を削除します。
セキュリティ OU を使用する必要がなくなった
独自の組織構造を定義できます
唯一の要件は、すべてのハブアカウントが同じ OU に存在する必要があることです。
-
専用コントロールエクスペリエンス - 以下を含む最小限のランディングゾーン設定を作成できるようになりました。
AWS Organizations の基本的な統合
AWSControlTowerBaselineベースラインを有効にせずにコントロールを有効にする機能ニーズに基づいたカスタムガバナンス設定
-
AWS Config の変更 - Landing Zone 4.0 では、AWS Config 統合の実装にいくつかの改善が導入されています。
検出コントロール専用の新しい Config スポークベースライン
Config ハブアカウントのサービスにリンクされた Config アグリゲータ (SLCA)
従来の組織とアカウントアグリゲータの置き換え
-
オプションのマニフェスト:
-
マニフェストフィールドがオプションになり、次のことができるようになりました。
サービス統合なしでランディングゾーンを作成する
初期設定の柔軟性の向上
カスタマイズされたデプロイオプション
-
AWS Control Tower が Control Catalog に 279 個の AWS Config コントロールを追加
2025 年 11 月 14 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower には、 AWS Config コントロールカタログの一部として追加の 279 個のコントロールが含まれるようになりました。コントロールは、AWS Control Tower コンソールと APIs を使用して表示できます。
特定のコントロールは、他のコントロールと関係があります。これらの関係は、AWS Control Tower コンソールと APIs。関係タイプには、補完的、相互排他的、代替が含まれます。
AWS Control Tower が、アジアパシフィック (ニュージーランド) リージョンで利用可能に
2025 年 10 月 28 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が、アジアパシフィック (ニュージーランド) リージョンで利用可能になりました。
AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョン別のサービス表
AWS Control Tower が自動アカウント登録をサポート
2025 年 10 月 15 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower ランディングゾーンバージョン 3.1 以降を運用しているお客様は、AWS Control Tower で OU にアカウントを自動登録できるようになりました。アカウントの自動登録をオプトインすると、AWS Control Tower は、OU の有効なベースラインリソースとコントロールを新しい OU に移動するときにアカウントに適用します。前の OU のコントロールとベースラインは削除されます。ほとんどの場合、このアクションによってドリフトは作成されません。
自動登録を有効にするには: AWS Control Tower コンソールのランディングゾーンの [設定] ページでアカウントの自動登録を選択するか、RemediationType パラメータの値を継承ドリフトに設定して AWS Control Tower CreateLandingZone または UpdateLandingZone API を呼び出します。
自動登録を適用するには: 設定ページでこのオプションを選択した後、 AWS Organizations コンソール、 API、 AWS Organizations MoveAccountまたは AWS Control Tower コンソールを使用してアカウントを移動できます。
自動登録を使用してアカウントの登録を解除するには: 登録されている OU の外部にアカウントを移動すると、AWS Control Tower はデプロイされたすべてのベースラインとコントロールを自動的に削除します。
自動登録の詳細については、「オプションでアカウントの自動登録を設定する」を参照してください。
このリリースには、 管理ポリシーと新しい 管理ポリシーの更新も含まれています。AWS ControlTowerServiceRolePolicy を更新し、新しい AWS ControlTowerIdentityCenterManagementPolicy を追加しました。
AWS Control Tower CreateLandingZone と UpdateLandingZone API を更新して、Inheritance Drift という名前の新しい RemediationType を追加しました。
AWS Control Tower が Python バージョンを更新
2025 年 9 月 3 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
Python のバージョン 3.9 は非推奨です。AWS Control Tower は、AWS Control Tower 環境で Python のバージョンを更新しました。アクションは必要なく、この更新は既存のワークロードに影響しません。
AWS Control Tower がドリフトを低減
2025 年 8 月 20 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、サービスコントロールポリシードリフトの機能を更新しました。このリリースでは、2 種類のガバナンスドリフトが AWS Control Tower によって直接処理され、環境でドリフトが発生しなくなりました。
2 種類のガバナンスドリフトが削除
マネージド OU にアタッチされた SCP - このタイプのドリフトは、コントロールの SCP が他の OU にアタッチされたときに発生しました。AWS Control Tower コンソールの外部から OU を更新したときに発生するのが特に一般的です。
メンバーアカウントにアタッチされた SCP - このタイプのドリフトは、コントロールの SCP が AWS Control Tower コンソールの外部からアカウントにアタッチされたときによく発生します。
ドリフトの詳細については、「Detect and resolve drift in AWS Control Tower」(AWS Control Tower でドリフトを検出して解決する) を参照してください。
AWS Control Tower が IPv6 アドレスをサポート
2025 年 8 月 18 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower API は、新しいデュアルスタックエンドポイントを通じてインターネットプロトコルバージョン 6 (IPv6) アドレスをサポートするようになりました。IPv4 をサポートする既存のエンドポイントは、下位互換性のために引き続き利用可能です。新しいデュアルスタックドメインは、インターネットから、または AWS PrivateLink
Account Factory for Terraform バージョン 1.15.0 が利用可能に
2025 年 7 月 28 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower Account Factory for Terraform (AFT) のバージョン 1.15.0 が利用可能になりました。詳細については、「AFT GitHub リポジトリ
Nitro インスタンスタイプでコントロールを更新
2025 年 7 月 24 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、Amazon EC2 インスタンスタイプを実施する Control Catalog (以前は Control Library と呼ばれていました) の 8 つのプロアクティブコントロールを更新しました。この更新により、いくつかの新しい Nitro インスタンスタイプをインスタンス化し、非推奨の u-series インスタンスタイプを削除できます。
更新されたコントロール
新しいインスタンスタイプが利用可能に
c8gdc8gni7im8gdp6-b200r8gd
削除されたインスタンスタイプ
u-12tb1u-18tb1u-24tb1u-9tb1
更新されたコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能なリージョンのリストについては、「AWS リージョン の表
AWS Control Tower がアジアパシフィック (台北) リージョンで利用可能に
2025 年 7 月 23 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower がアジアパシフィック (台北) リージョンで利用可能になりました。
AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョン別のサービス表
AWS Control Tower が PrivateLink をサポート
2025 年 6 月 30 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が AWS PrivateLink
追加の業界フレームワークのサポート、メタデータの更新
2025 年 6 月 12 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
このリリースで、AWS Control Tower が 10 の業界フレームワークのサポートを含むように拡張されました。フレームワークのリストについては、「サポートされるフレームワーク」を参照してください。
例えば、初めに AWS Control Tower コンソールの [Control Catalog] ページに移動し、PCI-DSS-v4.0 などのフレームワークを検索して、そのフレームワークに関連するすべてのコントロールを表示できます。または、新しい ListControlMappings API を呼び出して、プログラムを使用してコントロールとフレームワークを調べることができます。
コントロールに関連するメタデータ定義は、これらの追加の業界フレームフックのサポートを向上させるために変更されています。メタデータの変更は、有効化のコントロールを評価する方法に影響を与える可能性があります。例えば、NIST、PCI、CIS メタデータの値が変更されることがあります。コンソールの [コントロールの詳細] ページで、有効なコントロールのマッピングを確認することをお勧めします。
コンソールと API で、3 つの新しいメタデータフィールドが導入されました。まとめると、これらのフィールドは、コントロールを分類して有効化する方法を理解するのに役立つ階層を記述します。フィールドは、ドメイン、目的、一般的なコントロールです。利用可能な幅広い業界フレームワークに合わせてコントロールの目的を再定義しました。この階層の詳細については、「オントロジーの該当」を参照してください。
-
これらのメタデータの変更は AWS Control Tower コンソールに反映され、コンソールのエクスペリエンスは AWS Control Tower と AWS Config コンソール全体で一貫しています。
-
AWS Control Tower コンソールでコントロール情報を表示するには、IAM ポリシーに
controlcatalogのアクセス許可を追加する必要があります。詳細については、「Permissions required to use the AWS Control Tower console」(AWS Control Tower コンソールを使用するために必要なアクセス許可) を参照してください。 -
各コントロールに、コントロールが管理するリソースタイプを示す
GovernedResourcesという新しいフィールドが追加されました。場合によっては、このフィールドにリソースのサービスプレフィックスが表示され、他のインスタンスでは空白になることがあります。詳細については、「GetControl」および「ListControls」を参照してください。
このリリースでは、他の用語との整合性のため、コントロールライブラリという名前を Control Catalog に変更しました。
サービスにリンクされた AWS Config コントロール
2025 年 6 月 12 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、サービスにリンクされた AWS Config ルールとしてデプロイされる AWS Control Tower 検出コントロールのサポートを発表しました。
このリリースでは、AWS Control Tower がサービスにリンクされた Config ルールを登録済みアカウントに直接デプロイし、以前のデプロイ方法を AWS CloudFormation スタックセットに置き換えるようになりました。この変更により、デプロイの速度が大幅に向上します。また、これらのサービスにリンクされた Config ルールは、 CloudFormation スタックセットまたは Config ルールの手動変更によって発生する可能性のある意図しない設定ドリフトを防ぐため、リソースの一貫したガバナンスを確保するのに役立ちます。
今後、 AWS Config ルールによって実装されるすべての AWS Control Tower コントロールは、 AWS Config APIs を直接呼び出すこのメカニズムでデプロイされます。
重要
サービスにリンクされた Config ルールを採用する前に、AWS Control Tower の外部の Config ルールに行った修復などの既存のカスタマイズを確認してください。これらのカスタマイズは移行中に削除されます。 AWS Config APIsサービスにリンクされた AWS Config ルールの修正設定の追加をサポートしていません。「PutRemediationConfigurations」を参照してください。
詳細と必要なアクション
-
ランディングゾーンを更新またはリセットすると、AWS Control Tower はセキュリティ OU を管理する必須コントロールを更新します。アップグレードを完了するには、 AWS Config ルールで実装されている各検出コントロールをリセットするか、OU を再登録する必要があります。
-
このアップグレードの全範囲は、AWS Control Tower ランディングゾーンのバージョンが 3.2 以降の場合に適用されます。この更新を適用すると、既存の AWS Config ルールが新しいデプロイ方法とともにサービスマネージド Config ルールに変更されます。
-
ランディングゾーンがバージョン 3.1 以下の場合、新しい Config ルールは新しいメソッドでデプロイされ、スタックセットではデプロイされなくなります。既存の Config ルールは、サービスマネージド Config ルールに更新されません。標準タイプのままになります。
-
サービスにリンクされた設定ルールは、以下の形式のようなリソース ARN で識別できます。
arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
サービスにリンクされた AWS Config ルールによって実装されたコントロールの意図した機能は変更されていません。AWS Control Tower の検出サービスにリンクされた Config ルールは、ポリシー違反など、アカウント内の非準拠リソースを識別し、ダッシュボードを介してアラートを提供できます。一貫性を維持し、設定ドリフトを防ぎ、全体的なユーザーエクスペリエンスを簡略化するために、これらのルールは AWS Control Tower を介してのみ変更できるようになりました。
このリリースの一環として、サービスにリンクされたロール (SLR) のポリシーに 4 つの新しいアクセス許可が追加されました。これによりAWSServiceRoleForAWSControlTower、登録されたアカウントのサービスにリンクされた AWS Config ルールを有効または無効にできます。
config:DescribeConfigRules config:TagResource config:PutConfigRule config:DeleteConfigRule
有効なコントロールコンソールビューによる一元的な可視性
2025 年 5 月 21 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、有効なすべてのコントロールを 1 つの一元化されたビューに表示する新しいページをコンソールに追加しました。以前は、コントロールはそのアカウントまたは有効化された OU でのみ表示できました。統合ビューを使用すると、コントロールガバナンスのギャップを簡単に大規模に特定できます。
[有効なコントロール] ページで、予防、検出、またはプロアクティブの動作に従ってコントロールをフィルタリングできます。SCP などのコントロール実装に従ってフィルタリングすることもできます。コントロールごとに、このコントロールが有効になっている OU の数を確認できます。
[有効なコントロール] ページを表示するには、AWS Control Tower コンソールの [コントロール] セクションに移動します。
Account Factory for Terraform (AFT) がデプロイ時に新しい設定をサポート
2025 年 5 月 13 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower アカウントカスタマイズフレームワークである Account Factory for Terraform (AFT) は、デプロイ時に 3 つの追加のオプション設定をサポートするようになりました。AFT をカスタム仮想プライベートクラウド (VPC) にデプロイし、AFT デプロイの Terraform プロジェクト名を指定し、AFT が作成するリソースにタグ付けすることができます。
詳細については、「AWS Control Tower Account Factory for Terraform (AFT) のデプロイ」を参照してください。
AWS Control Tower がベースライン API のアカウントレベルのレポートを導入
2025 年 5 月 12 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
ベースライン API を呼び出すことで、管理対象アカウントのドリフトとアカウント登録ステータスをプログラムで表示できるようになりました。この機能を使用すると、アカウントと OU のベースライン設定がいつドリフトするか、または同期しなくなるかを特定できます。プログラムでドリフトステータスを表示するには、有効なベースラインに ListEnabledBaselines API を呼び出します。ListEnabledBaselines API を使用して個々のアカウントのステータスをプログラムで表示するには、includeChildren フラグを使用します。これらのステータスでフィルタリングし、注意が必要なアカウントと OU のみを表示できます。
AWS ControlTowerBaseline は、ガバナンスに必要なベストプラクティスの設定、コントロール、リソースを設定します。組織単位 (OU) でこのベースラインを有効化すると、OU 内のメンバーアカウントは自動的に AWS Control Tower に登録されます。AWS Control Tower ベースライン APIs には CloudFormation サポートが含まれており、Infrastructure as Code (IaC) を使用して OUsとアカウントを管理するオートメーションを構築できます。
これらの API の詳細については、「AWS Control Tower ユーザーガイド」の「Baselines」を確認してください。ドリフトとアカウント登録ステータスのベースライン APIs と新しく起動されたレポート機能は、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表
AWS アジアパシフィック (タイ) およびメキシコ (中部) リージョンで利用可能な AWS Control Tower
2025 年 5 月 9 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が次の AWS リージョンで利用可能になりました。
アジアパシフィック (タイ)
メキシコ (中部)
AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョン別のサービス表
利用可能な追加の AWS Config コントロール
2025 年 4 月 11 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、セキュリティ、コスト、耐久性、オペレーションなど、さまざまなユースケースで 223 のマネージド AWS Config ルールを追加でサポートするようになりました。この起動により、AWS Control Tower を使用して、マルチアカウント環境を管理するために必要な AWS Config ルールを検索して検出し、AWS Control Tower から直接コントロールを有効にして管理できるようになりました。
AWS Control Tower コンソールから開始するには、Control Catalog に移動し、実装フィルター AWS Configを使用してコントロールを検索します。AWS Control Tower コンソールから直接コントロールを有効化できます。
詳細については、「AWS Control Tower で利用可能な統合 AWS Config コントロール」を参照してください。
このリリースにより、ListControls および GetControl API が更新され、CreateTime、Severity度、Implementationの 3 つの新しいフィールドがサポートされるようになりました。これらは Control Catalog でコントロールを検索するときに使用できます。例えば、前回の評価後に作成された重要度の高い AWS Config ルールをプログラムで検索できるようになりました。
AWS Control Tower が利用可能なすべての AWS リージョン で新しい AWS Config ルールを検索できます。ルールをデプロイするには、そのルール AWS リージョン でサポートされている のリストを参照して、有効にできる場所を確認します。
OU のアクションの登録解除と削除
2025 年 4 月 8 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、OU の登録を解除し、OU を削除する別のコンソールアクションをサポートするようになりました。OU を削除する前に、登録を解除する必要があります。登録を解除することによって、AWS Control Tower から OU を削除できます。
詳細については、「OU を削除する」を参照してください。
Control Catalog が IPv6 アドレスをサポート
2025 年 4 月 2 日
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower Control Catalog API は、新しいデュアルスタックエンドポイントを通じてインターネットプロトコルバージョン 6 (IPv6) アドレスをサポートするようになりました。IPv4 をサポートする既存の Control Catalog エンドポイントは、下位互換性のために引き続き利用可能です。新しいデュアルスタックドメインは、インターネットから、または AWS PrivateLink
