翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リージョンを設定する際は混合ガバナンスを避ける
AWS Control Tower ガバナンスを新しい に拡張した後、およびリージョンから AWS Control Tower ガバナンスを削除した後AWS リージョン、OU 内のすべてのアカウントを更新することが重要です。
混合ガバナンスは、OU を管理するコントロールが OU 内の各アカウントを管理するコントロールと完全に一致しない場合に発生する可能性のある望ましくない状況です。AWS Control Tower がガバナンスを新しい に拡張した後、またはガバナンスを削除した後にアカウントが更新されない場合AWS リージョン、混合ガバナンスは OU で発生します。
このような状況では、OU 内の特定のアカウントが、OU 内の他のアカウントと比較されたり、ランディングゾーンの全体的なガバナンス体制と比較されたりすると、リージョンごとに異なるコントロールが適用されることがあります。
ガバナンスが混在している OU では、新しいアカウントをプロビジョニングすると、その新しいアカウントには、ランディングゾーンと同じ (更新された) リージョンと OU のガバナンス体制が適用されます。ただし、まだ更新されていない既存のアカウントには、更新されたリージョンガバナンス体制は適用されません。
一般に、混合ガバナンスでは、AWS Control Tower コンソールのステータスインジケータが矛盾したり不正確になったりすることがあります。たとえば、混合ガバナンスの場合、まだ更新されていないアカウントについては、登録済み OU のオプトインリージョンが「管理なし」ステータスで表示されます。
注記
AWS Control Tower は、混合ガバナンスの状態ではコントロールを有効にすることはできません。
混合ガバナンスにおけるコントロールの動作
-
混合ガバナンス中、AWS Control Tower は、OU の一部のアカウントが更新されていないため、OU が既に管理対象として表示しているリージョンに、AWS Configルールに基づくコントロール (検出コントロール) を一貫してデプロイできません。
FAILED_TO_ENABLEエラーメッセージが表示されることがあります。 -
混合ガバナンスの場合、OU 内のアカウントがまだ更新されていない状態でランディングゾーンのガバナンスをオプトインリージョンに拡張すると、OU の
EnableControlAPI 操作は検出および予防コントロールについては失敗します。OU 内の更新されていないメンバーアカウントはまだそれらのリージョンにオプトインされていないため、FAILED_TO_ENABLEエラーメッセージが表示されます。 -
混合ガバナンス中、Security Hub CSPM Service-managed Standard: AWS Control Tower の一部であるコントロールは、ランディングゾーン設定と更新されていないアカウントの間に不一致があるリージョンでは、コンプライアンスを正確に報告できません。
-
混合ガバナンスによって SCP ベースのコントロール (予防コントロール) の動作が変わることはなく、すべての管理対象リージョンの OU 内のすべてのアカウントに一律に適用されます。
注記
混合ガバナンスはドリフトとは異なりますし、ドリフトとして報告されません。
混合ガバナンスを修復するには
-
お客様は、リージョン別コントロールをリセットすることで、混合ガバナンスを修復できるようになりました。グローバル以外のコントロールはすべてリージョン (検出的コントロールとプロアクティブコントロール) です。アラートバナーを通じて、OU が混合ガバナンスにあることが警告されます。
