翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower 機能のリージョン間の違い
AWS Control Tower は他の AWS サービスの動作を調整するため AWS リージョン、AWS Control Tower の動作には特定の違いがあります。例えば、次のようになります。
-
AWS Service Catalog は、AWS Control Tower が利用可能なすべての AWS リージョン で利用できるわけではなく、それらのリージョンでの Account Factory の動作が変更されます。
-
一部のリージョンでは、ブループリントの基盤となる機能をサポートする Service Catalog が使用できないため、Account Factory Customizations (AFC) を使用できません。
-
基盤となる機能がないため AWS リージョン 、一部のコントロールはすべての で利用できるわけではありません。
-
AFT と CfCT は、基盤となる機能がないため、すべての AWS リージョン で利用できるわけではありません。
AWS Control Tower 環境の動作を的確に判断するには、ホームリージョンを確認します。次に、以下の項目を評価します。詳細については、「Limitations and quotas in AWS Control Tower」を参照してください。
-
希望するホームリージョンで AWS Service Catalog 利用できますか?
-
必要なコントロールを使用できるか? 「Control limitations」を参照してください。
-
目的のホームリージョンで IAM アイデンティティセンターを使用できるか?
コントロールのデプロイ可能なリージョン
AWS Control Tower は、基盤となる依存関係がないため、特定のリージョンにデプロイするときに特定のコントロールをアクティブ化できません。ListControls および GetControl API を呼び出して、任意のコントロールのデプロイ可能なリージョンに関する最新情報を確認できます。AWS Control Tower コンソールでデプロイ可能なリージョンを表示することもできます。
AWS Control Tower によって管理される OU でコントロールをアクティブ化する場合、コントロールの影響領域は、AWS Control Tower によって管理されるリージョンとコントロールのデプロイ可能なリージョンの共通部分です。
例えば、コントロールは、管理対象リージョン X、Y、Z で動作する OU で有効化できます。ただし、有効化すると、コントロール自体がリージョン Y をサポートしていないため、同じコントロールはリージョン X と Z にのみデプロイされます。
AWS リソースの保護にギャップが発生しないように、デプロイするコントロールと AWS Control Tower でワークロードを運用するリージョン間の関係をモニタリングすることが重要です。
保護されたリージョンを確認する方法
AWS Control Tower コンソールでは、有効化されたコントロールセクションで有効化されたコントロールとリージョンを表示できます。
GetEnabledControlAPI を呼び出すと、targetRegions パラメータには、デプロイ不可能なリージョンではなく、コントロールを効果的にデプロイできるリージョンのみが表示されます。
