翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Control Tower のネットワーク
<a name="networking"></a>

AWS Control Tower は、VPC を介したネットワークの基本的なサポートを提供します。

AWS Control Tower VPC のデフォルト設定または機能がニーズを満たさない場合は、他のAWSサービスを使用して VPC を設定できます。VPCs[「スケーラブルで安全なマルチ VPC AWSネットワークインフラストラクチャの構築](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf)」を参照してください。

AWS Control Tower は、デュアルスタック IP アドレスを使用して IPv4 および IPv6 プロトコルをサポートします。詳細については、「[AWS Control Catalog のエンドポイントとクォータ](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html)」および「[AWS Control Tower のエンドポイントとクォータ](https://docs.aws.amazon.com//general/latest/gr/controltower.html)」を参照してください。

**関連トピック**
+ 既存の VPC があるアカウントを登録する場合の AWS Control Tower の動作の詳細については、「[VPC を使用して既存のアカウントを登録する](enroll-account.md#enroll-existing-accounts-with-vpcs)」を参照してください。
+ Account Factory では、AWS Control Tower VPC を含むアカウントをプロビジョニングしたり、VPC なしでアカウントをプロビジョニングしたりできます。AWS Control Tower VPC を削除する方法、または VPC なしで AWS Control Tower アカウントを設定する方法については、「[チュートリアル: VPC を使用せずに AWS Control Tower を設定する](configure-without-vpc.md)」を参照してください。
+ VPC のアカウント設定の変更方法については、アカウントの更新に関する「[ Account Factory のドキュメント](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings)」を参照してください。
+ AWS Control Tower のネットワークと VPC を使用する方法の詳細については、この*ユーザーガイド*の*関連情報*ページで「[ネットワーク](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking)」のセクションを参照してください。

## AWS Control Tower の VPCs とAWSリージョン
<a name="vpcs-and-regions"></a>

アカウント作成の標準的な部分として、 は、AWS Control Tower AWSで管理していないリージョンであっても、すべてのリージョンにデフォルト VPC AWSを作成します。このデフォルト VPC は、AWS Control Tower がプロビジョニングされたアカウント用に作成する VPC とは異なりますが、非管理リージョンのAWSデフォルト VPC には IAM ユーザーがアクセスできる場合があります。

管理者は、リージョン拒否コントロールを有効にして、エンドユーザーが AWS Control Tower がサポートするリージョンの VPC に接続する権限を持たないようにできます。ただし、管理対象外のリージョンです**。リージョン拒否コントロールを設定するには、**[Landing zone settings]** (ランディングゾーン設定) ページに移動し、**[Modify settings]** (設定を変更する) を選択します。

リージョン拒否コントロールは、管理対象外のAWS リージョンにおけるほとんどのサービスへの API コールをブロックします。詳細については、[「リクエストされたAWSに基づいて へのアクセスを拒否する」を参照してくださいAWS リージョン](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html)。

**注記**  
リージョン拒否コントロールでは、AWS Control Tower がサポートされていないリージョンで IAM ユーザーがAWSのデフォルト VPC に接続することを妨げない場合があります。

必要に応じて、非管理リージョンのAWSデフォルト VPC を削除できます。 VPCs リージョンのデフォルト VPC をリストするには、次の例と同様の CLI コマンドを使用できます。

```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```

# AWS Control Tower と VPC の概要
<a name="vpc-concepts"></a>

AWS Control Tower VPC に関する重要な事実を以下に示します。
+ Account Factory でアカウントをプロビジョニングするときに AWS Control Tower によって作成された VPC は、AWSデフォルトの VPC と同じではありません。
+ AWS Control Tower がサポートされているAWSリージョンに新しいアカウントを設定すると、AWS Control Tower は自動的にデフォルトのAWS VPC を削除し、AWS Control Tower によって設定された新しい VPC を設定します。
+ 各 AWS Control Tower アカウントには、AWS Control Tower で作成された 1 つの VPC が許可されます。アカウントは、アカウント制限内に追加のAWS VPCs を持つことができます。
+ すべての AWS Control Tower VPC には、米国西部 (北カリフォルニア) リージョン、`us-west-1`、`us-west-1` の 2 つのアベイラビリティーゾーンを除くすべてのリージョンに 3 つのアベイラビリティーゾーンがあります。デフォルトでは、各アベイラビリティーゾーンに 1 つのパブリックサブネットと 2 つのプライベートサブネットが割り当てられます。したがって、米国西部 (北カリフォルニア) 以外のリージョンの場合、各 AWS Control Tower VPC には、デフォルトで 9 つのサブネットが含まれ、3 つのアベイラビリティーゾーンに分かれています。米国西部 (北カリフォルニア) では、6 つのサブネットが 2 つのアベイラビリティーゾーンで分割されます。
+ AWS Control Tower VPC 内のサブネットのそれぞれに、同サイズの一意の IP アドレス範囲が割り当てられます。
+ VPC 内のサブネットの数は設定可能です。VPC のサブネット設定の変更方法の詳細については、「[Account Factory トピック](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)」を参照してください。
+ IP アドレスが重複しないため、AWS Control Tower VPC 内の 6 または 9 つのサブネットは無制限に相互通信できます。

VPC を使用する場合、AWS Control Tower はリージョンレベルで区切りません。すべてのサブネットは、指定した正確な CIDR 範囲から割り当てられます。VPC のサブネットは、どのリージョンにも存在できます。

**Notes** (メモ)

**VPC コストを管理する**  
新しいアカウントをプロビジョニングするときにパブリックサブネットが有効になるように Account Factory の VPC 設定を定義すると、Account Factory によって VPC が設定されて、NAT ゲートウェイが作成されます。料金は Amazon VPC による使用量に対して請求されます。

**VPC とコントロールの設定**  
VPC インターネットアクセス設定を有効にして Account Factory アカウントをプロビジョニングすると、その Account Factory 設定によってコントロール「[顧客が管理する Amazon VPC インスタンスのインターネットアクセスを許可しない](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access)」が上書きされます。新しくプロビジョニングされたアカウントのインターネットアクセスを有効にしないようにするには、Account Factory で設定を変更する必要があります。詳細については、「[Walkthrough: Configure AWS Control Tower Without a VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)」を参照してください。

# VPC と AWS Control Tower の CIDR とピア接続
<a name="vpc-ct-cidr"></a>

このセクションは、主にネットワーク管理者を対象としています。通常、会社のネットワーク管理者は、AWS Control Tower 組織の全体的な CIDR 範囲を選択する担当者です。ネットワーク管理者は、特定の目的のために、その範囲内からサブネットを割り当てます。

VPC の CIDR 範囲を選択すると、AWS Control Tower は RFC 1918 仕様に従って IP アドレス範囲を検証します。Account Factory は、以下の範囲で最大 `/16` の CIDR ブロックを許可します。
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10` (インターネットプロバイダーがこの範囲の使用を許可している場合のみ)

`/16` 区切り記号を使用すると、最大 65,536 個の IP アドレスを指定できます。

以下の範囲から有効な IP アドレスを割り当てることができます。
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255` (`192.168` 範囲外の IP はありません)

指定した範囲がこれらの範囲外である場合、AWS Control Tower はエラーメッセージを表示します。

デフォルトの CIDR 範囲は `172.31.0.0/16` です。

AWS Control Tower は、選択された CIDR 範囲を使用して VPC を作成する際に、組織単位 (OU) 内に作成した各アカウントのすべての VPC に対して、同じ CIDR 範囲を割り当てます。**IP アドレスのデフォルトオーバーラップのため、この実装では、OU 内のいずれかの AWS Control Tower VPC 間のピア接続が最初は許可されません。

**サブネット**

各 VPC 内で、AWS Control Tower は指定された CIDR 範囲を 9 つのサブネット間に均等に分割します (6 つのサブネットがある米国西部 (北カリフォルニア)。VPC 内のサブネットは重複しません。したがって、それらはすべて VPC 内において相互間で通信できます。

つまり、デフォルトでは VPC 内のサブネット通信は制限されません。VPC サブネット間の通信を制御するためのベストプラクティスは、必要に応じて、許可するトラフィックフローを定義するルールを使用してアクセスコントロールリストを設定することです。特定のインスタンス間のトラフィックを制御するには、セキュリティグループを使用します。AWS Control Tower でセキュリティグループとファイアウォールを設定する方法の詳細については、[「チュートリアル:AWS Firewall Manager を使用して AWS Control Tower でセキュリティグループを設定する](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html)」を参照してください。

**ピア接続**

AWS Control Tower は、複数の VPC 間で通信するための VPC と VPC 間のピア接続を制限しません。ただし、デフォルトでは、すべての AWS Control Tower VPC のデフォルトの CIDR 範囲は同じです。ピア接続をサポートするために、IP アドレスが重複しないように Account Factory の設定で CIDR 範囲を変更できます。

Account Factory の設定で CIDR 範囲を変更すると、以降に AWS Control Tower で (Account Factory を使用して) 作成されるすべての新しいアカウントに新しい CIDR 範囲が割り当てられます。古いアカウントは更新されません。例えば、アカウントを作成し、CIDR 範囲を変更して新しいアカウントを作成すると、これら 2 つのアカウントに割り当てられた VPC 間はピア接続できます。IP アドレス範囲が同じではないため、ピア接続が可能です。

# インターフェイスエンドポイントを使用して AWS Control Tower にアクセスする (AWS PrivateLink)
<a name="networking-privatelink"></a>

を使用して AWS PrivateLink 、VPC と AWS Control Tower の間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのように AWS Control Tower にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても AWS Control Tower にアクセスできます。

このプライベート接続を確立するには、 AWS PrivateLinkを利用した*インターフェイスエンドポイント*を作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、AWS Control Tower 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

詳細については、「 *AWS PrivateLink ガイド*」の[「Access AWS のサービス through AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」を参照してください。

## AWS Control Tower に関する考慮事項
<a name="privatelink-vpc-endpoint-considerations"></a>

AWS Control Tower のインターフェイスエンドポイントを設定する前に、「*AWS PrivateLink ガイド*」の「[考慮事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)」を確認してください。

AWS Control Tower は、インターフェイスエンドポイントを介してすべての API アクションの呼び出しをサポートしています。

## AWS Control Tower のインターフェイスエンドポイントを作成する
<a name="privatelink-vpc-endpoint-create"></a>

Amazon VPC コンソールまたは AWS Command Line Interface () を使用して、AWS Control Tower のインターフェイスエンドポイントを作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。

以下のサービス名を使用して、AWS Control Tower のインターフェイスエンドポイントを作成します。

```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```

インターフェイスエンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名を使用して、AWS Control Tower への API リクエストを実行できます。例えば、`controltower.us-east-1.amazonaws.com`。

## インターフェイスエンドポイントのエンドポイントポリシーを作成する
<a name="privatelink-vpc-endpoint-policy"></a>

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイント経由での AWS Control Tower へのフルアクセスが許可されています。VPC から AWS Control Tower に許可されるアクセスを制御するには、カスタム・エンドポイント・ポリシーをインターフェースのエンドポイントにアタッチします。

エンドポイントポリシーは以下の情報を指定します。
+ アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。
+ 実行可能なアクション。
+ このアクションを実行できるリソース。

詳細については、*AWS PrivateLink ガイド*の[Control access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)を参照してください。

**例: AWS Control Tower アクション用の VPC エンドポイントポリシー**  
以下は、カスタムエンドポイントポリシーの例です。インターフェイスエンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている AWS Control Tower アクションへのアクセス権を付与します。

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
```

**注記**  
AWS Control Tower API オペレーションの完全なリストについては、「[AWS Control Tower API リファレンス](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html)」を参照してください。