翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# チュートリアル
<a name="walkthroughs"></a>

この章では、AWS Control Tower の使用に役立つチュートリアルの手順が含まれています。

**トピック**
+ [チュートリアル: ALZ から AWS Control Tower に移行する](alz-to-control-tower.md)
+ [チュートリアル: VPC を使用せずに AWS Control Tower を設定する](configure-without-vpc.md)
+ [AWS Control Tower リソースを削除する](walkthrough-delete.md)
+ [チュートリアル: を使用して AWS Control Tower でセキュリティグループを設定する AWS Firewall Manager](firewall-setup-walkthrough.md)
+ [AWS Control Tower のランディングゾーンを廃止する](decommission-landing-zone.md)

# チュートリアル: ALZ から AWS Control Tower に移行する
<a name="alz-to-control-tower"></a>

多くのAWSお客様は、[AWS Landing Zone ソリューション (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) を採用して、安全で準拠したマルチアカウントAWS環境をセットアップしています。ランディングゾーンの管理負担を軽減するために、AWSは AWS Control Tower というマネージドサービスを作成しました。

ALZ では、追加機能は予定されていません。長期サポートのみです。したがって、ALZ から AWS Control Tower サービスに移行することをお勧めします。この章でリンクされているブログでは、その移行に関するさまざまな考慮事項について説明し、ALZ から AWS Control Tower への正常な移行を計画する方法について説明します。

**ブログ: **[AWSランディングゾーンソリューションを AWS Control Tower に移行する](https://aws.amazon.com/blogs//mt/migrate-aws-landing-zone-solution-to-aws-control-tower/)

AWS規範ガイダンスでは、ALZ から AWS Control Tower への移行手順など、より広範なドキュメントを提供しています。基本的に、いくつかの前提条件に基づいて、ALZ を実行している既存の組織で AWS Control Tower ガバナンスを有効にします。詳細については、[AWS「ランディングゾーンから AWS Control Tower への移行](https://docs.aws.amazon.com//prescriptive-guidance/latest/aws-control-tower/introduction.html)」を参照してください。

# チュートリアル: VPC を使用せずに AWS Control Tower を設定する
<a name="configure-without-vpc"></a>

このトピックでは、VPC を使用せずに AWS Control Tower アカウントを設定する方法について説明します。

ワークロードに VPC が必要ない場合は、次の操作を実行できます。
+ AWS Control Tower 仮想プライベートクラウド (VPC) を削除できます。この VPC は、ランディングゾーンの設定時に作成されます。
+ VPC が関連付けられていない新しい AWS Control Tower アカウントが作成されるように、Account Factory 設定を変更できます。

**重要**  
VPC インターネットアクセス設定を有効にして Account Factory アカウントをプロビジョニングすると、その Account Factory 設定によってコントロール「[顧客が管理する Amazon VPC インスタンスのインターネットアクセスを許可しない](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html#disallow-vpc-internet-access)」が上書きされます。新しくプロビジョニングされたアカウントのインターネットアクセスを有効にしないようにするには、Account Factory で設定を変更する必要があります。

## AWS Control Tower VPC を削除する
<a name="delete-master-vpc"></a>

AWS Control Tower 以外では、すべての AWS お客様にデフォルトの VPC があり、[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) の Amazon Virtual Private Cloud (Amazon VPC) コンソールで表示できます。デフォルトの VPC は、その名前の末尾に必ず単語 *(default)* が含まれているため判別できます。

AWS Control Tower ランディングゾーンを設定すると、AWS Control Tower は AWS デフォルトの VPC を削除し、新しい AWS Control Tower のデフォルト VPC を作成します。新しい VPC は、AWS Control Tower 管理アカウントに関連付けられます。このトピックでは、この新しい VPC を *Control Tower VPC* と呼びます。

Amazon VPC コンソールで AWS Control Tower VPC を表示すると、その名前の末尾に単語 *(default)* は表示されません。**複数の VPC がある場合は、割り当てられた CIDR 範囲を使用して、該当する AWS Control Tower VPC を特定する必要があります。

AWS Control Tower VPC は削除できますが、後で AWS Control Tower で VPC が必要になった場合は、自分で作成する必要があります。

**AWS Control Tower VPC を削除するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. **VPC** を検索するか、Service Catalog のオプションから **[VPC]** を選択します。**[VPC Dashboard]** (VPC ダッシュボード) が表示されます。

1. 左側のメニューから、**[Your VPCs]** (お使いの VPC) を選択します。すべての自分の VPC が一覧表示されます。

1. AWS Control Tower VPC をその CIDR 範囲で特定します。

1. VPC を削除するには、**[Actions]** (アクション)、**[Delete VPC]** (VPC の削除) の順に選択します。

 AWS *(デフォルト)* VPC は、AWS Control Tower 管理アカウントのすべてのリージョンに既に存在します。セキュリティのベストプラクティスに従うために、AWS Control Tower VPC を削除する場合は、管理アカウントに関連付けられた AWS デフォルトの VPC をすべての AWS リージョンから削除することをお勧めします。したがって、管理アカウントをセキュリティで保護するには、各リージョンからデフォルトの VPC を削除し、AWS Control Tower ホームリージョンの Control Tower によって作成された VPC も削除します。

## オプションでアカウントの VPC リソースをクリーンアップする
<a name="remove-a-vpc"></a>

オプションで、既存のアカウント`aws-controltower-VPC`から AWS Control Tower VPC リソース をクリーンアップするには、VPC に既存のリソースやリソース依存関係がないことを確認した後`AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`、 AWS CloudFormation StackSet からスタックインスタンス を削除できます。

## AWS Control Tower で VPC なしのアカウントを作成する
<a name="create-without-vpc"></a>

エンドユーザーのワークロードに VPC が不要である場合は、この方法を使用して、VPC が自動作成されないユーザーアカウントを設定できます。

AWS Control Tower ダッシュボードから、ネットワーク設定を表示および編集できます。関連付けられた VPC なしで AWS Control Tower アカウントが作成されるように設定を変更すると、設定を再度変更するまでは、すべての新しいアカウントが VPC なしで作成されます。



**VPC なしのアカウントを作成するように Account Factory を設定するには**

1. ウェブブラウザを開き、AWS Control Tower コンソール ([https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)) に移動します。

1. 左側のメニューから、**[Account Factory]** を選択します。

1. [Account Factory] ページに **[Network Configuration]** (ネットワーク設定) セクションが表示されます。

1. 後で復元する場合のために、現在の設定を書き留めておきます。

1. **[Network Configuration]** (ネットワーク設定) セクションで **[Edit]** (編集) ボタンを選択します。

1.  **[Edit account factory network configuration]** (Account Factory ネットワーク設定の編集) ページで、**[VPC Configuration options for new accounts]** (新規アカウント用の VPC 設定オプション) セクションに移動します。

   **[Option 1]** (オプション 1) または **[Option 2]** (オプション 2)、あるいはその両方に従って、アカウントのプロビジョニング時に AWS Control Tower が VPC を作成しないようにします。

   1. 

**オプション 1 — サブネットの削除**
      + **[Internet-accessible subnet]** (インターネットアクセス可能なサブネット) のトグルスイッチをオフにします。
      + **[Maximum number of private subnets]** (プライベートサブネットの最大数) の値を 0 に設定します。

   1. 

**オプション 2 – AWS リージョンの削除**
      + **[Regions for VPC creation]** (VPC 作成のリージョン) 列のすべてのチェックボックスをオフにします。

1. **[保存]** を選択します。

### 起こり得るエラー
<a name="error-notes"></a>

AWS Control Tower VPC を削除したり、VPC なしのアカウントを作成するように Account Factory を再設定したりするときは、以下のエラーが起こる場合があるため注意してください。
+ 既存の管理アカウントには、AWS Control Tower VPC の依存関係やリソースが含まれている場合があります。これにより、削除エラー**が発生する可能性があります。
+ VPC なしで新しいアカウントを起動するように設定するときにデフォルトの CIDR を残したままにすると、リクエストは失敗し、CIDR が無効**であるというエラーが発生します。

# チュートリアル: を使用して AWS Control Tower でセキュリティグループを設定する AWS Firewall Manager
<a name="firewall-setup-walkthrough"></a>

この動画では、 AWS Firewall Manager サービスを使用して AWS Control Tower のネットワークセキュリティを強化する方法を示します。セキュリティグループを設定するためのセキュリティ管理者アカウントを指定できます。セキュリティポリシーを設定してセキュリティルールを AWS Control Tower 組織に適用する方法、およびポリシーを自動的に適用して非準拠のリソースを修復する方法を確認できます。組織内の各アカウントおよびリソース (Amazon EC2 インスタンスなど) に適用されているセキュリティグループを確認できます。

独自のファイアウォールポリシーを作成することも、信頼できるベンダーのルールをサブスクライブすることもできます。

## AWS Firewall Manager でセキュリティグループを設定する
<a name="firewall-manager-video"></a>

この動画 (所要時間: 8 分 2 秒) では、AWS Control Tower のリソースとワークロードのネットワークインフラストラクチャセキュリティを強化する方法について説明します。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

[![AWS Videos](http://img.youtube.com/vi/wocz0drq8-8/0.jpg)](http://www.youtube.com/watch?v=wocz0drq8-8)


詳細については、[AWS WAF のセットアップ方法に関するドキュメント](https://docs.aws.amazon.com//waf/latest/developerguide/setting-up-waf.html)を参照してください。