翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Control Tower の仕組み
<a name="how-control-tower-works"></a>

このセクションでは、AWS Control Tower がどのように動作するかを大まかに説明します。ランディングゾーンは、すべての AWS リソース用に適切に設計されたマルチアカウント環境です。この環境を使用して、すべての AWS アカウントにコンプライアンス規制を適用できます。

## AWS Control Tower のランディングゾーンの構造
<a name="landing-zone-structure"></a>

AWS Control Tower のランディングゾーンの構造は次のとおりです。
+ **ルート** - ランディングゾーン内の他のすべての OU を含む親。
+ **セキュリティ OU** - この OU には、ログアーカイブアカウントと監査アカウントが含まれています。これらのアカウントは、共有アカウント**とも呼ばれます。ランディングゾーンを起動するときに、これらの共有アカウントのカスタマイズされた名前を選択できます。また、セキュリティとログ記録のために既存の AWS アカウントを AWS Control Tower に持ち込むオプションもあります。ただし、これらの名前を後で変更することはできません。また、初回起動後にセキュリティとログ記録のために既存のアカウントを追加することはできません。
+ **サンドボックス OU** - サンドボックス OU は、ランディングゾーンを有効にしている場合にランディングゾーンを起動すると作成されます。このメンバー OU と他のメンバー OU には、ユーザーが AWS ワークロードを実行するために使用する登録済みアカウントが含まれています。
+ **IAM Identity Center ディレクトリ** - デフォルトでは、このディレクトリには、IAM Identity Center ユーザーが格納されます。これは、各 IAM Identity Center ユーザーの許可の範囲を定義します。オプションで、ID とアクセスコントロールを自己管理することを選択できます。詳細については、[「IAM Identity Center と AWS AWS Control Tower の使用](https://docs.aws.amazon.com/controltower/latest/userguide/sso.html)」を参照してください。
+ **IAM Identity Center ユーザー** – ランディングゾーンで AWS ワークロードを実行するためにユーザーが引き受けることができる ID です。

## ランディングゾーンをセットアップした場合に起きること
<a name="how-it-works-setup"></a>

ランディングゾーンをセットアップすると、ユーザーに代わって AWS Control Tower が管理アカウントで次のアクションを実行します。
+  AWS Organizations 組織のルート構造に含まれるセキュリティとサンドボックス (オプション) の 2 つの組織単位 (OUs) を作成します。
+ セキュリティ OU 内に共有アカウントを 2 つ作成または追加する (ログアーカイブアカウントと監査アカウント)。
+ デフォルトの AWS Control Tower 設定を選択した場合や、ID プロバイダーを自己管理できる場合は、事前設定されたグループとシングルサインオンアクセスを使用して、IAM Identity Center にクラウドネイティブディレクトリを作成します。
+ 必須の予防コントロールをすべて適用してポリシーを実施する。
+ 必須の検出コントロールをすべて適用して設定違反を検出する。
+ *予防コントロールは管理アカウントには適用されません。*
+ 管理コントロールを除き、ガードレールを組織全体に適用する。

**AWS Control Tower ランディングゾーンおよびアカウント内のリソースの安全な管理**
+ ランディングゾーンを作成すると、多数の AWS リソースが作成されます。AWS Control Tower を使用するには、このガイドで説明されたサポートされている方法以外で、これらの AWS Control Tower マネージドリソースを変更または削除することはできません。これらのリソースを変更または削除すると、ランディングゾーンの状態が不明になります。詳細については、「[AWS Control Tower リソースの作成と変更に関するガイダンス](getting-started-guidance.md)」を参照してください。
+ オプションのコントロール (*強く推奨または選択的*ガイダンスを持つコントロール) を有効にすると、AWS Control Tower はアカウントで管理する AWS リソースを作成します。AWS Control Tower によって作成されたリソースを変更または削除しないでください。これにより、コントロールの状態が不明になる可能性があります。

## AWS Control Tower と StackSets が動作する仕組み
<a name="stacksets-how"></a>



AWS Control Tower は、デフォルトで CloudFormation StackSets を使用してアカウントのリソースを設定します。各スタックセットには、アカウントとアカウント AWS リージョン ごとの に対応する StackInstances があります。AWS Control Tower は、アカウントとリージョンごとに 1 つのスタックセットインスタンスをデプロイします。

AWS Control Tower は、 CloudFormation パラメータに基づいて、特定のアカウントおよび AWS リージョン 選択的に更新を適用します。更新が一部のスタックインスタンスに適用されると、他のスタックインスタンスが **OUTDATED** ステータスのままになることがあります。これは想定内の正常な動作です。

スタックインスタンスが **OUTDATED** 状態になった場合は通常、そのスタックインスタンスに対応するスタックがスタックセットの最新のテンプレートと合致していないことになります。スタックは古いテンプレートに残っているため、最新のリソースやパラメータが含まれていない可能性があります。スタックはまだ完全に使用可能です。

 更新時に指定された CloudFormation パラメータに基づいて、想定される動作を簡単にまとめます。

スタックセットの更新にテンプレートへの変更が含まれている場合 (つまり、 `TemplateBody`または `TemplateURL`プロパティが指定されている場合）、または `Parameters`プロパティが指定されている場合、 は、指定されたアカウントのスタックインスタンスを更新する前に、ステータスが **Outdated **のすべてのスタックインスタンスを CloudFormation マークします AWS リージョン。スタックセットの更新にテンプレートまたはパラメータの変更が含まれていない場合、 は指定されたアカウントとリージョンのスタックインスタンス CloudFormation を更新し、他のすべてのスタックインスタンスは既存のスタックインスタンスのステータスのままにします。スタックセットに関連付けられたすべてのスタックインスタンスを更新するには、`Accounts` プロパティまたは `Regions` プロパティを指定しないでください。

詳細については、「 CloudFormation ユーザーガイド」の[「スタックセットの更新](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-update.html)」を参照してください。