翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Landing Zone v4.0 移行ガイド
AWS Control Tower ランディングゾーン 4.0 では、ランディングゾーンアーキテクチャの大幅な見直しが導入され、柔軟な専用コントロールエクスペリエンスと完全にオプションのサービス統合が提供されます。主な機能強化には AWS Config、、AWS CloudTrail、SecurityRoles、および AWS Backup 統合を選択的に有効にする機能が含まれ、 AWS Config および AWS CloudTrail 専用のリソースを使用して分離を改善します。
このリリースでは、必須の組織構造要件が削除され、お客様が独自の を定義できるようになりました。また、包括的な `ConfigBaseline` を必要とせずに、検出コントロールをサポートする新しい が導入されました`AWSControlTowerBaseline`。サービスにリンクされた Config Aggregator は、以前の集約メソッドを置き換え、コンプライアンスデータ収集を合理化します。
さらに、マニフェストフィールドはオプションになり、統合と制御の有効化のみに焦点を当てた AWS Organizations 最小限のランディングゾーンデプロイが可能になります。これらの変更により、堅牢なガバナンス機能を維持しながら、より大きなカスタマイズオプションが提供され、お客様は特定のニーズに合わせて AWS Control Tower をより効果的に調整できます。
**Topics**
+ [主な変更点](key-changes-lz-v4.md)
+ [AWS Config の更新](config-updates-v4.md)
# 主な変更点
**注記**
「登録済み」と「登録済み」の定義は、この新しいバージョンの AWS Control Tower に移行しました。アカウント/OU で AWS Control Tower リソースが有効になっている場合 (コントロールやベースラインなど)、管理対象リソースと見なされます。定義は、`AWSControlTowerBaseline`ベースラインの存在によって駆動されなくなります。
サービスにリンクされたロールはすべてのランディングゾーンバージョンにわたって保持され、OUs」になったときに削除されなくなります。
サービスにリンクされたロールは、ランディングゾーンの廃止後にのみ手動で削除できます。
+ **ランディングゾーン 4.0 の前提条件: **API 経由でバージョン 4.0 にアップグレードする場合は、`AWSControlTowerCloudTrailRole`サービスロールが既存のインラインポリシー`AWSControlTowerCloudTrailRolePolicy`ではなく新しい管理ポリシーを使用していることを確認します。[ドキュメント](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy)の説明に従って、現在のインラインポリシーをデタッチし、新しい管理ポリシーをアタッチします。
+ **オプションのマニフェスト:** ランディングゾーン API のマニフェストフィールドがオプションになりました。お客様は、サービス統合なしでランディングゾーンを作成できます。マニフェストフィールドを既に使用している既存の顧客には影響しません。
+ **オプションの組織構造:** AWS Control Tower は、お客様が独自の組織構造を定義および管理できるように、セキュリティ OU の作成を強制または管理しなくなりました。ただし、AWS Control Tower では、各 AWS サービス統合に設定されたすべてのアカウントを同じ親 OU の下にする必要があります。AWS Control Tower を既にセットアップしていて、セキュリティ OU を持っているお客様には影響はありません。AWS Control Tower は、Security OU でサービス統合アカウントを管理するために必要なリソースとコントロールを自動的にデプロイします。たとえば、AWS Config 統合が有効になっている場合、AWS Config の記録はすべてのサービス統合アカウントで有効になります。AWS Control Tower ベースラインと AWS Config ベースラインは、セキュリティ OU および統合アカウントには適用されません。サービス統合を変更するには、ランディングゾーンの設定を更新します。
**注記**
AWS Control Tower ランディングゾーン 4.0 の組織構造設定が以前のランディングゾーンバージョンから変更されました。AWS Control Tower は、指定されたセキュリティ OU を作成しなくなります。サービス統合アカウントを持つ OU は、指定されたセキュリティ OU になります。
メンバーアカウントが、各統合のアカウントが存在する OU に移動すると、自動登録がオンまたはオフになっているかどうかに関係なく、その OU で有効なコントロールがドリフトします。
+ **ドリフト通知:** AWS Control Tower は、 `AWSControlTowerBaseline`を有効にせずにランディングゾーン 4.0 のすべてのお客様の SNS トピックへのドリフト通知の送信を停止し、代わりに管理アカウントの EventBridge へのドリフト通知の送信を開始します。EventBridge を介してドリフト通知を受信する方法に関するサンプルイベントとガイダンスを確認するには、[このガイド](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html)を確認してください。
+ **オプションのサービス統合: **AWS CloudTrail、SecurityRoles、 など AWS Config、すべての AWS Control Tower 統合を有効または無効にできるようになりました AWS Backup。これらの統合には、API でオプションで必要な`enabled`フラグも追加されました。ランディングゾーンまたは共有アカウントに適用されるベースラインが相互に依存するようになりました。統合固有の依存関係は次のとおりです。
+ 有効化:
+ `CentralSecurityRolesBaseline` → を有効にする`CentralConfigBaseline`必要があります
+ `IdentityCenterBaseline` → を有効にする`CentralSecurityRolesBaseline`必要があります
+ `BackupCentralVaultBaseline` → を有効にする`CentralSecurityRolesBaseline`必要があります
+ `BackupAdminBaseline` → を有効にする`CentralSecurityRolesBaseline`必要があります
+ `LogArchiveBaseline` → 独立 (依存関係なし)
+ `CentralConfigBaseline` → 独立 (依存関係なし)
+ 無効化:
+ `CentralConfigBaseline` は、`CentralSecurityRolesBaseline`、、`IdentityCenterBaseline``BackupAdminBaseline`および `BackupCentralVaultBaseline`ベースラインが最初に無効になっている場合にのみ無効にできます。
+ `CentralSecurityRolesBaseline` は、`IdentityCenterBaseline`、、`BackupAdminBaseline`および `BackupCentralVaultBaseline`ベースラインが最初に無効になっている場合にのみ無効にできます。
+ `IdentityCenterBaseline` は個別に無効にできます。
+ `BackupAdminBaseline` および `BackupCentralVaultBaseline`ベースラインは個別に無効にできます
+ `LogArchiveBaseline` は個別に無効にできます
# AWS Config の更新
+ ** AWS Config および AWS CloudTrail 専用リソース: ** AWS Config および AWS CloudTrail では、共有リソースの代わりに個別の専用 S3 バケットと SNS トピックを使用するようになりました。お客様は、複数の統合に単一または個別のアカウントを使用する柔軟性を制限されています。
+ AWS Control Tower ランディングゾーンバージョン 4.0 にアップグレードする場合、既存のデータと S3 バケットは移動されません。AWS CloudTrail 統合では、プレフィックス が付いた既存の S3 バケットが引き続き使用されます`aws-controltower-logs`。更新オペレーション後の新しい AWS Config データは、AWS Control Tower `aws-controltower-config`が CentralConfigBaseline に指定されたアカウントに作成するプレフィックスを持つ新しい S3 バケットに保存されます。
**注記**
ランディングゾーン 4.0 で AWS CloudTrail 統合を初めて有効にすると、プレフィックスを持つたびに新しい S3 バケットが作成されます。 `aws-controltower-cloudtrail`
+ データの場所の変更: 以前に共有されたリソースから専用リソースにアップグレードした既存のお客様は、異なる S3 バケットに AWS Config および AWS CloudTrail データを持つことになります。確立されたお客様のワークフローとツールでは、新しいバケットの場所のデータにアクセスするために更新が必要になる場合があります。
+ AWS CloudTrail は引き続き同じ既存のバケットに留まりますが、 AWS Config データは AWS Control Tower によって作成された新しい S3 バケットに保存されます。
+ 異なるログを 1 つのバケットに一元化する場合は、クロスバケットレプリケーションを設定できます。詳細については、[S3 ドキュメント](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html)を参照してください。
+ AWS Control Tower によって管理されるリージョンで AWS Control Tower によって作成されていない既存の AWS Config 配信チャネルを持つアカウントを登録している場合は、ランディングゾーン 4.0 `aws-controltower-config-logs-`の AWS Control Tower 設定と一致するように、配信チャネルの S3 バケット名を AWS Config 統合アカウントのプレフィックスが付いた新しい S3 バケットに更新します。詳細については、「[既存の AWS Config リソースがあるアカウントを登録する](existing-config-resources.md)」を参照してください。
+ **AWS Config ランディングゾーンバージョン 4.0 での統合: ** AWS Config 統合を有効にしてランディングゾーン 4.0 に移行すると、次の変更が表示されます。
1. 既存の監査アカウントは、委任管理者として登録されています AWS Config。
1. サービスにリンクされた Config Aggregator は、監査アカウント (新規顧客のAWS Config 中央アグリゲータアカウントと既存顧客の監査アカウント) にデプロイされます。新しいアグリゲータは、Control Tower 以外のマネージドアカウントを含め、組織内の任意の AWS Config レコーダーからデータを集約できます。
1. 既存のアグリゲータは削除されます - 管理アカウント (`aws-controltower-ConfigAggregatorForOrganizations`) の組織アグリゲータと監査アカウント (`aws-controltower-GuardRailsComplianceAggregator`) のアカウントアグリゲータは削除されます。
1. Configuration Aggregator はサービスにリンクされているため、削除されたアグリゲータに関連付けられたコントロールは自動的に削除されます。
1. [AWS Config リソースの AWS Control Tower によって作成されたタグの変更を禁止する](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes)
1. [AWS Control Tower によって作成された AWS Config 集約認可の削除を禁止する](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+ **新しい`ConfigBaseline`ベースライン: ** 包括的な を必要とせずに、検出コントロールをサポートする `ConfigBaseline` OU レベルに別の が追加されました`AWSControlTowerBaseline`。詳細については、[「OU レベルのベースラインタイプのリスト](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types)」を参照してください。デフォルトのランディングゾーンを使用している既存のお客様では、すべてのサービス統合がオプションになりました。依存関係要件については、「」で説明しています[主な変更点](key-changes-lz-v4.md)。
+ **サービスにリンクされた Config Aggregator: ** AWS Config 中央アグリゲータアカウントの組織とアカウントのアグリゲータを置き換えます。
+ AWS Config 統合を有効にしてランディングゾーン 4.0 にアップグレードする場合、お客様は アクセス`organizations:ListDelegatedAdministrators`許可が必要です
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"backup:UpdateGlobalSettings",
"controltower:CreateLandingZone",
"controltower:UpdateLandingZone",
"controltower:ResetLandingZone",
"controltower:DeleteLandingZone",
"controltower:GetLandingZoneOperation",
"controltower:GetLandingZone",
"controltower:ListLandingZones",
"controltower:ListLandingZoneOperations",
"controltower:ListTagsForResource",
"controltower:TagResource",
"controltower:UntagResource",
"servicecatalog:*",
"organizations:*",
"organizations:RegisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"sso:*",
"sso-directory:*",
"logs:*",
"cloudformation:*",
"kms:*",
"iam:GetRole",
"iam:CreateRole",
"iam:GetSAMLProvider",
"iam:CreateSAMLProvider",
"iam:CreateServiceLinkedRole",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": "*"
}
]
}
```