翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 用語 ここでは、AWS Control Tower のドキュメントに表示されるいくつかの用語を簡単に確認します。 まず、AWS Control Tower は、このドキュメント全体に表示される*組織*および*組織単位 (OU)* という用語など、多くの用語をAWS Organizationsサービスと共有していることを知っておくとよいでしょう。 + 組織と OU の詳細については、「[AWS Organizationsの用語と概念](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_getting-started_concepts.html)」を参照してください。AWS Control Tower を初めて使用する場合は、その用語を理解することから始めましょう。 +  [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html) は、ワークロードの拡大とスケーリングに合わせて環境を一元管理するためのAWSサービスですAWS。AWS Control Tower はAWS Organizations、 を使用してアカウントを作成し、OU レベルで予防コントロールを適用し、一元的な請求を行います。 + [AWS Account Factory アカウント](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)は、AWS Control Tower の Account Factory を使用してプロビジョニングされたAWSアカウントです。Account Factory は、アカウントの「自動販売機」と非公式に呼ばれることもあります。 + AWS Control Tower [ホームリージョン](https://docs.aws.amazon.com//controltower/latest/userguide/best-practices.html#tips-for-admin-setup)は、AWS Control Tower ランディングゾーンがデプロイされたAWSリージョンです。ホームリージョンは、ランディングゾーン設定で表示できます。 + [AWS Service Catalog](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/introduction.html) では、一般的にデプロイされる IT サービスを一元管理できます。このドキュメントのコンテキストでは、Account Factory はAWS Service Catalogを使用して、カスタマイズされたブループリントからのAWSアカウントを含む新しいアカウントをプロビジョニングします。 + [AWS CloudFormation StackSets](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-concepts.html) は、スタックの機能を拡張するリソースのタイプで、1 回のオペレーションと 1 つの CloudFormation テンプレートで、複数のアカウントおよびリージョンにまたがるスタックを作成、更新、または削除できます。 + [スタックインスタンス](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-concepts.html#stacksets-concepts-stackinstances)は、リージョン内のターゲットアカウントのスタックへの参照です。 + A[stack](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html#w2ab1b5c15b) は、単一のユニットとして管理できるAWSリソースのコレクションです。 + [アグリゲータ](https://docs.aws.amazon.com//config/latest/developerguide/aggregate-data.html)は、組織内の複数のアカウントとリージョンからAWS Config設定とコンプライアンスデータを収集するAWS Configリソースタイプであり、1 つのアカウント内でこのコンプライアンスデータを表示およびクエリできます。 + [コンフォーマンスパック](https://docs.aws.amazon.com//config/latest/developerguide/conformance-packs.html)は、アカウントとリージョン、または の組織全体に単一のエンティティとしてデプロイできるAWS Configルールと修復アクションのコレクションですAWS Organizations。適合パックを使用して、AWS Control Tower 環境をカスタマイズできます。詳細を説明している技術的なブログについては、「[関連情報](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#working-existing-organizations)」を参照してください。 + AWS Control Tower の[ベースライン](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html)は、ターゲットに適用できるリソースと特定の設定のグループです。最も一般的なベースラインターゲットは、組織単位 (OU) です。例えば、`AWSControlTowerBaseline` というベースラインを使用して、OU を AWS Control Tower に登録することができます。ランディングゾーンの設定および更新時には、共有アカウント、またはランディングゾーン全体の特定の設定をベースラインターゲットとすることができます。 + **ブループリント:**ブループリントは、いくつかのメタデータをカプセル化するアーティファクトで、アカウント内にデプロイされるインフラストラクチャコンポーネントを定義します。たとえば、CloudFormationテンプレートは AWS Control Tower アカウントのブループリントとして機能します。 + **ドリフト: **AWS Control Tower によってインストールされ、設定されたリソースの変更。ドリフトのないリソースにより、AWS Control Tower が正常に機能できるようになります。 + **非準拠リソース:** 特定の検出コントロールを定義するAWS Configルールに違反しているリソース。 + **共有アカウント:** ランディングゾーンの設定時に AWS Control Tower によって自動的に作成される 3 つのアカウント (管理アカウント、ログアーカイブアカウント、監査アカウント) のうちの 1 つ。設定時に、ログアーカイブアカウントと監査アカウントのカスタマイズされた名前を選択できます。 + **メンバーアカウント:** メンバーアカウントは、AWS Control Tower 組織に属します。メンバーアカウントは、AWS Control Tower に登録または登録解除できます。****登録された OU に、登録済みアカウントと未登録アカウントが混在している場合: + OU で有効になっている (または OU で継承された) 予防コントロールは、未登録アカウントを含む、その OU 内のすべてのアカウントに適用されます。これは、アカウントレベルではなく OU レベルの SCP、RCP、または宣言型ポリシーで予防コントロールが実施されるためです。詳細については、AWS Organizationsドキュメントの[サービスコントロールポリシーの継承](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)を参照してください。 + OU で有効になっている検出コントロールは、未登録アカウントには適用されません。 + プロアクティブコントロールはAWS CloudFormationフックによって補完されます。これらのコントロールは、OU に登録されていないアカウントには適用されません。 アカウントは一度に 1 つの組織のメンバーにしかなることができず、その料金はその組織の管理アカウントに請求されます。メンバーアカウントは、組織のルートコンテナに移動できます。 + account**AWS:**AWSアカウントは、リソースコンテナとリソース分離の境界として機能します。AWSアカウントは、請求と支払いに関連付けることができます。AWSアカウントは、AWS Control Tower のユーザーアカウント ([IAM ユーザーアカウント](https://docs.aws.amazon.com//controltower/latest/userguide/setting-up.html#setting-up-iam)と呼ばれることもあります) とは異なります。Account Factory プロビジョニングプロセスによって作成されたアカウントはAWS accounts です。AWSアカウントは、アカウント登録または OU 登録プロセスによって AWS Control Tower に追加することもできます。 + **コントロール**: コントロール (**ガードレールとも呼ばれます) は、AWS Control Tower 環境全体に継続的なガバナンスを提供する高レベルのルールです。各コントロールは、1 つのルールを適用します。予防コントロールは、SCP で実装されます。検出コントロールはAWS Configルールで実装されます。プロアクティブコントロールはCloudFormationフックで実装されます。詳細については、「[コントロールの仕組み](how-controls-work.md)」を参照してください。 + **Control Catalog:** AWS Control Tower コントロールカタログは、コンソールと API で AWS Control Tower を通して利用可能なすべてのコントロールの便覧です。以前は Control Library と呼ばれていました。用語を名前空間の名前 *controlcatalog* に一致させました。 + **ランディングゾーン:** ランディングゾーンは、デフォルトのアカウント、アカウント構造、ネットワークおよびセキュリティレイアウトなど、推奨される開始点を提供するクラウド環境です。ランディングゾーンから、ソリューションとアプリケーションを利用するワークロードをデプロイできます。 + **フレームワーク:** フレームワークは、特定の規制基準または業界要件です。Control Catalog オントロジーでは、フレームワークは標準コントロールで表されます。詳細については、Control Catalog の「[オントロジーの該当](https://docs.aws.amazon.com//controlcatalog/latest/userguide/ontology-overview.html)」を参照してください。 + **ネストされた OU: **AWS Control Tower のネストされた OU は、別の OU に含まれる OU です。ネストされた OU は、厳密に親を 1 つ持つことができ、各アカウントを厳密に 1 つの OU のメンバーにすることができます。ネストされた OU は、階層を作成します。階層内の OU のいずれかにポリシーをアタッチすると、その配下にあるすべての OU とアカウントに適用されます。AWS Control Tower のネストされた OU 階層は、最大 5 レベルの深さになることができます。 + **親 OU:** 階層内の現在の OU のすぐ上にある OU。各 OU は、親 OU を 1 つだけ持つことができます。 + **子 OU:** 階層内の現在の OU より下にある OU。OU は、多数の子 OU を持つことができます。 + **OU 階層:** AWS Control Tower では、ネストされた OU の階層に最大 5 つのレベルを設定できます。ネストの順序は、**レベル**と呼ばれます。階層の最上位は、**レベル 1** と呼ばれます。 + **最上位の OU:** 最上位の OU は、ルート自体ではなく、ルートの直下にある任意の OU です。ルートは、OU とは見なされません。 + **管理対象:** 管理対象リージョンは、組織が設定したガバナンスポリシーに従って、AWS Control Tower によって環境内で管理および制御されます。これらは、ベストプラクティスと組織ポリシーに準拠するようにモニタリングAWS リージョンされます。これらのリージョンのリソースは、AWS Control Tower コントロールを有効にすると保護されます。 + **管理対象外:** ステータスが **[管理対象外]** と表示されるリージョンは、AWS Control Tower によって制御もモニタリングもされません。通常、これらのAWS リージョンは、AWS Control Tower が適用するのと同じガバナンスポリシーに準拠していません。これらのリージョンにリソースを作成することは可能ですが、作成したリソースは AWS Control Tower コントロールでは保護されません。 + **拒否済み:** 拒否済みのリージョンは、AWS Control Tower によって明確にブロックされます。AWS Control Tower 環境内では、これらのAWS リージョンにリソースをプロビジョニングすることはできません。