翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
API を使用したランディングゾーン設定に対する想定
AWS Control Tower ランディングゾーンをセットアップするプロセスには、複数のステップがあります。AWS Control Tower ランディングゾーンには設定可能な側面があります。それ以外の選択肢は、セットアップ後に変更できません。
セットアップ時に設定する主な項目
-
セットアップ時に基礎となる OU 名を選択できます。また、ランディングゾーンのセットアップ後に OU 名を変更することもできます。デフォルトでは、基礎となる OU 名は [セキュリティ] と [サンドボックス] です。詳細については、「アーキテクチャが適切に設計された環境をセットアップするためのガイドライン」を参照してください。
-
セットアップ時に、AWS Control Tower がデフォルトで作成する共有アカウントの名前 (デフォルトではログアーカイブと監査) をカスタマイズできますが、セットアップ後はこれらの名前を変更できません (これは 1 回限りの選択です)。
-
APIs のセットアップ時に、AWS Control Tower が監査およびログアーカイブAWSアカウントとして使用する既存のアカウントを指定する必要があります。既存のAWSアカウントを指定するには、それらのアカウントに既存のAWS Configリソースがある場合は、AWS Control Tower にアカウントを登録する前に、既存のAWS Configリソースを削除または変更する必要があります。(これは 1 回限りの選択です)。
-
を初めて設定する場合、またはランディングゾーンバージョン 3.0 にアップグレードする場合は、AWS Control Tower が組織の組織レベルのAWS CloudTrail証跡を設定できるようにするか、AWS Control Tower によって管理される証跡をオプトアウトして独自の CloudTrail 証跡を管理するかを選択できます。ランディングゾーンを更新するたびに、AWS Control Tower が管理する組織レベルの証跡をオプトインまたはオプトアウトできます。
-
オプションで、ランディングゾーンを設定または更新する際、Amazon S3 ログバケットとログアクセスバケットにカスタマイズされた保持ポリシーを設定できます。
元に戻すことができない設定の選択
-
ランディングゾーンをセットアップした後で、ホームリージョンを変更することはできません。
-
VPC で アカウントをプロビジョニングしている場合、いったん作成した VPC CIDR を変更することはできません。
次のセクションでは、セットアップの前提条件と詳細なステップを説明および注意事項とともに示します。その他のコード例については、「例: API のみを使用して AWS Control Tower ランディングゾーンを設定する」を参照してください。
