翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Control Tower リリースノート
以下のセクションで、サービスの開始以降の AWS Control Tower リリースの詳細を示します。一部のリリースでは、AWS Control Tower ランディングゾーンの更新が必要であり、他のリリースは自動的にサービスに組み込まれます。
機能およびリリースは、公式に発表された日付を基準として新しい順 (最新が最初) に記載されています。
**Topics**
+ [2026 年 1 月~現在](2026-all.md)
+ [2025 年 1 月~2025 年 12 月](2025-all.md)
+ [2024 年 1 月~12 月](2024-all.md)
+ [2023 年 1 月~12 月](2023-all.md)
+ [2022 年 1 月~12 月](2022-all.md)
+ [2021 年 1 月~12 月](2021-all.md)
+ [2020 年 1 月~12 月](2020-all.md)
+ [2019 年 6 月~12 月](2019-all.md)
# 2026 年 1 月~現在
2026 年 1 月以降、AWS Control Tower は次の更新をリリースしました。
+ [欧州の主権クラウドで利用可能な AWS Control Tower](#eusc-region)
## 欧州の主権クラウドで利用可能な AWS Control Tower
**2026 年 1 月 13 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が欧州の主権クラウドで利用可能になりました。European Sovereign Cloud の AWS Control Tower の詳細については、[「European Sovereign Cloud の AWS Control Tower ユーザーガイド](https://docs.aws.eu/esc/latest/userguide/controltower.html)」を参照してください。
# 2025 年 1 月~2025 年 12 月
2025 年 1 月以降、AWS Control Tower は次の更新をリリースしました。
+ [AWS Control Tower ランディングゾーンバージョン 4.0](#lz-40)
+ [AWS Control Tower が Control Catalog に 279 個の AWS Config コントロールを追加](#additional-config-controls)
+ [AWS Control Tower が、アジアパシフィック (ニュージーランド) リージョンで利用可能に](#akl-region)
+ [AWS Control Tower が自動アカウント登録をサポート](#auto-enroll)
+ [AWS Control Tower が Python バージョンを更新](#updated-python)
+ [AWS Control Tower が IPv6 アドレスをサポート](#ct-ipv6)
+ [AWS Control Tower がドリフトを低減](#no-attached-scp-drift)
[Account Factory for Terraform バージョン 1.15.0 が利用可能に](#aft-1-15)
+ [Nitro インスタンスタイプでコントロールを更新](#nitro-updates)
+ [AWS Control Tower がアジアパシフィック (台北) リージョンで利用可能に](#new-region-tpe)
+ [AWS Control Tower が PrivateLink をサポート](#ct-privatelink)
+ [追加の業界フレームワークのサポート、メタデータの更新](#hg-1-5)
+ [サービスにリンクされた AWS Config コントロール](#managed-config-controls)
+ [有効なコントロールコンソールビューによる一元的な可視性](#enabled-controls-page)
+ [Account Factory for Terraform (AFT) がデプロイ時に新しい設定をサポート](#aft-configurations)
+ [AWS Control Tower がベースライン API のアカウントレベルのレポートを導入](#enabled-baseline-drift)
+ [AWS アジアパシフィック (タイ) およびメキシコ (中部) リージョンで利用可能な AWS Control Tower](#new-regions-bkk-qro)
+ [利用可能な追加の AWS Config コントロール](#new-config-controls)
+ [OU のアクションの登録解除と削除](#deregister-and-delete)
+ [Control Catalog が IPv6 アドレスをサポート](#ipv6)
## AWS Control Tower ランディングゾーンバージョン 4.0
**2025 年 11 月 17 日**
(AWS Control Tower ランディングゾーンをバージョン 4.0 に更新する必要があります。 詳細については、「」を参照してください[ランディングゾーンを更新する](update-controltower.md))。
AWS Control Tower ランディングゾーン 4.0 は、柔軟な Controls-Only エクスペリエンスを導入する主要な更新プログラムであり、お客様は AWS マルチアカウント環境の実装と管理方法をカスタマイズできます。このリリースでは、AWS Control Tower が AWS サービスと統合し、組織リソースを管理する方法が大幅に変更されました。主な変更点については、「」を参照してください[Landing Zone v4.0 移行ガイド](landing-zone-v4-migration-guide.md)。
**主な変更点と機能**
+ オプションのサービス統合 - ランディングゾーン 4.0 では、環境で有効にするサービス統合を選択できます。統合を無効にすると、マネージドアカウントとサービス統合中央アカウントで、その統合に固有の AWS Control Tower デプロイ済みリソースがクリーンアップされます。サービス統合を選択的に有効または無効にできるようになりました。
+ AWS Config
+ AWS CloudTrail
+ セキュリティロール
+ AWS Backup
*重要: AWS Config 統合を無効にする場合は、セキュリティロール、IAM アイデンティティセンター、AWS Backup 統合も無効にする必要があります。*
+ 共有リソースを使用する代わりに専有リソース - ランディングゾーン 4.0 がキーサービス専用のリソースを作成するようになりました。この分離により、リソースの分離が改善され、サービス固有のリソースをより詳細に制御できます。
+ AWS Config の個別の S3 バケット
+ AWS CloudTrail 用に S3 バケットを分離する
+ 各サービスの個々の SNS トピック
+ Flexible Organization Structure - ランディングゾーン 4.0 は、以前の組織構造要件を削除します。
+ セキュリティ OU を使用する必要がなくなった
+ 独自の組織構造を定義できます
+ 唯一の要件は、すべてのハブアカウントが同じ OU に存在する必要があることです。
+ 専用コントロールエクスペリエンス - 以下を含む最小限のランディングゾーン設定を作成できるようになりました。
+ AWS Organizations の基本的な統合
+ `AWSControlTowerBaseline` ベースラインを有効にせずにコントロールを有効にする機能
+ ニーズに基づいたカスタムガバナンス設定
+ AWS Config の変更 - Landing Zone 4.0 では、AWS Config 統合の実装にいくつかの改善が導入されています。
+ 検出コントロール専用の新しい Config スポークベースライン
+ Config ハブアカウントのサービスにリンクされた Config アグリゲータ (SLCA)
+ 従来の組織とアカウントアグリゲータの置き換え
+ オプションのマニフェスト:
+ マニフェストフィールドがオプションになり、次のことができるようになりました。
+ サービス統合なしでランディングゾーンを作成する
+ 初期設定の柔軟性の向上
+ カスタマイズされたデプロイオプション
## AWS Control Tower が Control Catalog に 279 個の AWS Config コントロールを追加
**2025 年 11 月 14 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower には、 AWS Config コントロールカタログの一部として追加の 279 個のコントロールが含まれるようになりました。コントロールは、AWS Control Tower コンソールと APIs を使用して表示できます。
特定のコントロールは、他のコントロールと関係があります。これらの関係は、AWS Control Tower コンソールと APIs。関係タイプには**、補完的**、**相互排他的**、**代替**が含まれます。
## AWS Control Tower が、アジアパシフィック (ニュージーランド) リージョンで利用可能に
**2025 年 10 月 28 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が、アジアパシフィック (ニュージーランド) リージョンで利用可能になりました。
AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン別のサービス表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower が自動アカウント登録をサポート
**2025 年 10 月 15 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower ランディングゾーンバージョン 3.1 以降を運用しているお客様は、AWS Control Tower で OU にアカウントを自動登録できるようになりました。アカウントの自動登録をオプトインすると、AWS Control Tower は、OU の有効なベースラインリソースとコントロールを新しい OU に移動するときにアカウントに適用します。前の OU のコントロールとベースラインは削除されます。ほとんどの場合、このアクションによってドリフトは作成されません。
**自動登録を有効にするには:** AWS Control Tower コンソールのランディングゾーンの **[設定]** ページでアカウントの自動登録を選択するか、`RemediationType` パラメータの値を**継承ドリフト**に設定して AWS Control Tower `CreateLandingZone` または `UpdateLandingZone` API を呼び出します。
**自動登録を適用するには:** **設定**ページでこのオプションを選択した後、 AWS Organizations コンソール、 API、 AWS Organizations `MoveAccount`または AWS Control Tower コンソールを使用してアカウントを移動できます。
**自動登録を使用してアカウントの登録を解除するには:** 登録されている OU の外部にアカウントを移動すると、AWS Control Tower はデプロイされたすべてのベースラインとコントロールを自動的に削除します。
自動登録の詳細については、「[オプションでアカウントの自動登録を設定する](configure-auto-enroll.md)」を参照してください。
このリリースには、 管理ポリシーと新しい 管理ポリシーの更新も含まれています。[AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html) を更新し、新しい [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html) を追加しました。
AWS Control Tower `CreateLandingZone` と `UpdateLandingZone` API を更新して、`Inheritance Drift` という名前の新しい `RemediationType` を追加しました。
## AWS Control Tower が Python バージョンを更新
**2025 年 9 月 3 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
Python のバージョン 3.9 は非推奨です。AWS Control Tower は、AWS Control Tower 環境で Python のバージョンを更新しました。アクションは必要なく、この更新は既存のワークロードに影響しません。
## AWS Control Tower がドリフトを低減
**2025 年 8 月 20 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、サービスコントロールポリシードリフトの機能を更新しました。このリリースでは、2 種類のガバナンスドリフトが AWS Control Tower によって直接処理され、環境でドリフトが発生しなくなりました。
**2 種類のガバナンスドリフトが削除**
+ **マネージド OU にアタッチされた SCP** - このタイプのドリフトは、コントロールの SCP が他の OU にアタッチされたときに発生しました。AWS Control Tower コンソールの外部から OU を更新したときに発生するのが特に一般的です。
+ **メンバーアカウントにアタッチされた SCP** - このタイプのドリフトは、コントロールの SCP が AWS Control Tower コンソールの外部からアカウントにアタッチされたときによく発生します。
ドリフトの詳細については、「[Detect and resolve drift in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)」(AWS Control Tower でドリフトを検出して解決する) を参照してください。
## AWS Control Tower が IPv6 アドレスをサポート
**2025 年 8 月 18 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower API は、新しいデュアルスタックエンドポイントを通じてインターネットプロトコルバージョン 6 (IPv6) アドレスをサポートするようになりました。IPv4 をサポートする既存のエンドポイントは、下位互換性のために引き続き利用可能です。新しいデュアルスタックドメインは、[インターネットから](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html)、または [AWS PrivateLink](https://aws.amazon.com/privatelink/) を使用した [Amazon 仮想プライベートクラウド (VPC) 内から](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html)使用できます*。*
## Account Factory for Terraform バージョン 1.15.0 が利用可能に
**2025 年 7 月 28 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower Account Factory for Terraform (AFT) のバージョン 1.15.0 が利用可能になりました。詳細については、「[AFT GitHub リポジトリ](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.15.0)」を参照してください。
## Nitro インスタンスタイプでコントロールを更新
**2025 年 7 月 24 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、Amazon EC2 インスタンスタイプを実施する Control Catalog (以前は Control Library と呼ばれていました) の 8 つのプロアクティブコントロールを更新しました。この更新により、いくつかの新しい Nitro インスタンスタイプをインスタンス化し、非推奨の *u-series* インスタンスタイプを削除できます。
**更新されたコントロール**
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description)
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description)
**新しいインスタンスタイプが利用可能に**
+ `c8gd`
+ `c8gn`
+ `i7i`
+ `m8gd`
+ `p6-b200`
+ `r8gd`
**削除されたインスタンスタイプ**
+ `u-12tb1`
+ `u-18tb1`
+ `u-24tb1`
+ `u-9tb1`
更新されたコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能なリージョンのリストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower がアジアパシフィック (台北) リージョンで利用可能に
**2025 年 7 月 23 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower がアジアパシフィック (台北) リージョンで利用可能になりました。
AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン別のサービス表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower が PrivateLink をサポート
**2025 年 6 月 30 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が [AWS PrivateLink](https://aws.amazon.com/privatelink/)** をサポートするようになりました。パブリックインターネットを経由することなく、Amazon Virtual Private Cloud (VPC) 内から AWS Control Tower および Control Catalog APIs を呼び出すことができます。 AWS PrivateLink は、仮想プライベートクラウド (VPCs)、サポートされているサービスとリソース、オンプレミスネットワーク間のプライベート接続を提供します。AWS Control Tower AWS PrivateLink のサポートは、AWS Control Tower が利用可能なすべての AWS リージョン で利用できます。
## 追加の業界フレームワークのサポート、メタデータの更新
**2025 年 6 月 12 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
このリリースで、AWS Control Tower が 10 の業界フレームワークのサポートを含むように拡張されました。フレームワークのリストについては、「[サポートされるフレームワーク](https://docs.aws.amazon.com//controltower/latest/controlreference/frameworks-supported.html)」を参照してください。
例えば、初めに AWS Control Tower コンソールの [Control Catalog] ページに移動し、**PCI-DSS-v4.0** などのフレームワークを検索して、そのフレームワークに関連するすべてのコントロールを表示できます。または、新しい [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html) API を呼び出して、プログラムを使用してコントロールとフレームワークを調べることができます。
コントロールに関連するメタデータ定義は、これらの追加の業界フレームフックのサポートを向上させるために変更されています。メタデータの変更は、有効化のコントロールを評価する方法に影響を与える可能性があります。例えば、NIST、PCI、CIS メタデータの値が変更されることがあります。コンソールの **[コントロールの詳細]** ページで、有効なコントロールの*マッピングを確認*することをお勧めします。
コンソールと API で、3 つの新しいメタデータフィールドが導入されました。まとめると、これらのフィールドは、コントロールを分類して有効化する方法を理解するのに役立つ階層を記述します。フィールドは、**ドメイン**、**目的**、[https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html](https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html)です。利用可能な幅広い業界フレームワークに合わせて[コントロールの目的](https://docs.aws.amazon.com/controltower/latest/controlreference/control-catalog-objectives.html)を再定義しました。この階層の詳細については、「[オントロジーの該当](https://docs.aws.amazon.com/controlcatalog/latest/userguide/ontology-overview.html)」を参照してください。
+ これらのメタデータの変更は AWS Control Tower コンソールに反映され、コンソールのエクスペリエンスは AWS Control Tower と AWS Config コンソール全体で一貫しています。
+ AWS Control Tower コンソールでコントロール情報を表示するには、IAM ポリシーに `controlcatalog` のアクセス許可を追加する必要があります。詳細については、「[Permissions required to use the AWS Control Tower console](https://docs.aws.amazon.com/controltower/latest/userguide/additional-console-required-permissions.html)」(AWS Control Tower コンソールを使用するために必要なアクセス許可) を参照してください。
+ 各コントロールに、コントロールが管理するリソースタイプを示す `GovernedResources` という新しいフィールドが追加されました。場合によっては、このフィールドにリソースのサービスプレフィックスが表示され、他のインスタンスでは空白になることがあります。詳細については、「[https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)」および「[https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html)」を参照してください。
このリリースでは、他の用語との整合性のため、*コントロールライブラリ*という名前を *Control Catalog* に変更しました。
## サービスにリンクされた AWS Config コントロール
**2025 年 6 月 12 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、サービスにリンクされた AWS Config ルールとしてデプロイされる AWS Control Tower 検出コントロールのサポートを発表しました。
このリリースでは、AWS Control Tower がサービスにリンクされた Config ルールを登録済みアカウントに直接デプロイし、以前のデプロイ方法を AWS CloudFormation スタックセットに置き換えるようになりました。この変更により、デプロイの速度が大幅に向上します。また、これらのサービスにリンクされた Config ルールは、 CloudFormation スタックセットまたは Config ルールの手動変更によって発生する可能性のある意図しない設定ドリフトを防ぐため、リソースの一貫したガバナンスを確保するのに役立ちます。
**今後、 AWS Config ルールによって実装されるすべての AWS Control Tower コントロールは、 AWS Config APIs を直接呼び出すこのメカニズムでデプロイされます。**
**重要**
サービスにリンクされた Config ルールを採用する前に、AWS Control Tower の外部の Config ルールに行った修復などの既存のカスタマイズを確認してください。これらのカスタマイズは移行中に削除されます。 AWS Config APIsサービスにリンクされた AWS Config ルールの修正設定の追加をサポートしていません。「[https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html](https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html)」を参照してください。
**詳細と必要なアクション**
+ ランディングゾーンを**更新**または**リセット**すると、AWS Control Tower はセキュリティ OU を管理する**必須**コントロールを更新します。アップグレードを完了するには、 AWS Config ルールで実装されている各検出コントロール**をリセット**するか、OU **を再登録**する必要があります。
+ このアップグレードの全範囲は、AWS Control Tower ランディングゾーンのバージョンが 3.2 以降の場合に適用されます。この更新を適用すると、既存の AWS Config ルールが新しいデプロイ方法とともにサービスマネージド Config ルールに変更されます。
+ ランディングゾーンがバージョン 3.1 以下の場合、新しい Config ルールは新しいメソッドでデプロイされ、スタックセットではデプロイされなくなります。既存の Config ルールは、サービスマネージド Config ルールに更新されません。標準タイプのままになります。
+ サービスにリンクされた設定ルールは、以下の形式のようなリソース ARN で識別できます。
```
arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
```
サービスにリンクされた AWS Config ルールによって実装されたコントロールの意図した機能は変更されていません。AWS Control Tower の検出サービスにリンクされた Config ルールは、ポリシー違反など、アカウント内の非準拠リソースを識別し、ダッシュボードを介してアラートを提供できます。一貫性を維持し、設定ドリフトを防ぎ、全体的なユーザーエクスペリエンスを簡略化するために、これらのルールは AWS Control Tower を介してのみ変更できるようになりました。
このリリースの一環として、サービスにリンクされたロール (SLR) のポリシーに 4 つの新しいアクセス許可が追加されました。これにより[https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower)、登録されたアカウントのサービスにリンクされた AWS Config ルールを有効または無効にできます。
```
config:DescribeConfigRules
config:TagResource
config:PutConfigRule
config:DeleteConfigRule
```
## 有効なコントロールコンソールビューによる一元的な可視性
**2025 年 5 月 21 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、有効なすべてのコントロールを 1 つの一元化されたビューに表示する新しいページをコンソールに追加しました。以前は、コントロールはそのアカウントまたは有効化された OU でのみ表示できました。統合ビューを使用すると、コントロールガバナンスのギャップを簡単に大規模に特定できます。
**[有効なコントロール]** ページで、予防、検出、またはプロアクティブの動作に従ってコントロールをフィルタリングできます。SCP などのコントロール実装に従ってフィルタリングすることもできます。コントロールごとに、このコントロールが有効になっている OU の数を確認できます。
**[有効なコントロール]** ページを表示するには、AWS Control Tower コンソールの **[コントロール]** セクションに移動します。
## Account Factory for Terraform (AFT) がデプロイ時に新しい設定をサポート
**2025 年 5 月 13 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower アカウントカスタマイズフレームワークである Account Factory for Terraform (AFT) は、デプロイ時に 3 つの追加のオプション設定をサポートするようになりました。AFT をカスタム仮想プライベートクラウド (VPC) にデプロイし、AFT デプロイの Terraform プロジェクト名を指定し、AFT が作成するリソースにタグ付けすることができます。
詳細については、「[AWS Control Tower Account Factory for Terraform (AFT) のデプロイ](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html)」を参照してください。
## AWS Control Tower がベースライン API のアカウントレベルのレポートを導入
**2025 年 5 月 12 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
ベースライン API を呼び出すことで、管理対象アカウントの*ドリフト*と*アカウント登録*ステータスをプログラムで表示できるようになりました。この機能を使用すると、アカウントと OU のベースライン設定がいつ*ドリフト*するか、または同期しなくなるかを特定できます。プログラムでドリフトステータスを表示するには、有効なベースラインに [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) API を呼び出します。`ListEnabledBaselines` API を使用して個々のアカウントのステータスをプログラムで表示するには、`includeChildren` フラグを使用します。これらのステータスでフィルタリングし、注意が必要なアカウントと OU のみを表示できます。
[https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) は、ガバナンスに必要なベストプラクティスの設定、コントロール、リソースを設定します。組織単位 (OU) でこのベースラインを有効化すると、OU 内のメンバーアカウントは自動的に AWS Control Tower に登録されます。AWS Control Tower ベースライン APIs には CloudFormation サポートが含まれており、Infrastructure as Code (IaC) を使用して OUsとアカウントを管理するオートメーションを構築できます。
これらの API の詳細については、「*AWS Control Tower ユーザーガイド*」の「[Baselines](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html)」を確認してください。*ドリフト*と*アカウント登録*ステータスのベースライン APIs と新しく起動されたレポート機能は、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS アジアパシフィック (タイ) およびメキシコ (中部) リージョンで利用可能な AWS Control Tower
**2025 年 5 月 9 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が次の AWS リージョンで利用可能になりました。
+ アジアパシフィック (タイ)
+ メキシコ (中部)
AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン別のサービス表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## 利用可能な追加の AWS Config コントロール
**2025 年 4 月 11 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、セキュリティ、コスト、耐久性、オペレーションなど、さまざまなユースケースで 223 のマネージド AWS Config ルールを追加でサポートするようになりました。この起動により、AWS Control Tower を使用して、マルチアカウント環境を管理するために必要な AWS Config ルールを検索して検出し、AWS Control Tower から直接コントロールを有効にして管理できるようになりました。
AWS Control Tower コンソールから開始するには、Control Catalog に移動し、実装フィルター AWS Configを使用してコントロールを検索します。AWS Control Tower コンソールから直接コントロールを有効化できます。
詳細については、[「AWS Control Tower で利用可能な統合 AWS Config コントロール](https://docs.aws.amazon.com/controltower/latest/controlreference/config-controls.html)」を参照してください。
このリリースにより、`ListControls` および `GetControl` API が更新され、**CreateTime**、**Severity度**、**Implementation**の 3 つの新しいフィールドがサポートされるようになりました。これらは Control Catalog でコントロールを検索するときに使用できます。例えば、前回の評価後に作成された重要度の高い AWS Config ルールをプログラムで検索できるようになりました。
AWS Control Tower が利用可能なすべての AWS リージョン で新しい AWS Config ルールを検索できます。ルールをデプロイするには、そのルール AWS リージョン でサポートされている のリストを参照して、有効にできる場所を確認します。
## OU のアクションの登録解除と削除
**2025 年 4 月 8 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、OU の登録を解除し、OU を削除する別のコンソールアクションをサポートするようになりました。OU を削除する前に、登録を解除する必要があります。登録を解除することによって、AWS Control Tower から OU を削除できます。
詳細については、「[OU を削除する](remove-ou.md)」を参照してください。
## Control Catalog が IPv6 アドレスをサポート
**2025 年 4 月 2 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower Control Catalog API は、新しいデュアルスタックエンドポイントを通じてインターネットプロトコルバージョン 6 (IPv6) アドレスをサポートするようになりました。IPv4 をサポートする既存の Control Catalog エンドポイントは、下位互換性のために引き続き利用可能です。新しいデュアルスタックドメインは、[インターネットから](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html)、または [AWS PrivateLink](https://aws.amazon.com/privatelink/) を使用した [Amazon 仮想プライベートクラウド (VPC) 内から](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html)使用できます*。*
# 2024 年 1 月~12 月
2024 年、AWS Control Tower は次の更新をリリースしました。
+ [AWS Control Tower CfCT が GitHub と RCP をサポート](#cfct-github-support)
+ [AWS Control Tower に宣言型ポリシーを使用した予防コントロールを追加](#declarative-policies)
+ [AWS Control Tower に規範バックアッププランオプションを追加](#aws-backup)
+ [AWS Control Tower は AWS Config コントロールを統合します](#config-controls)
+ [AWS Control Tower でフック管理を改善し、プロアクティブコントロールリージョンを追加](#hook-management)
+ [AWS Control Tower がマネージドリソースコントロールポリシーを起動](#rcp-controls)
+ [AWS Control Tower によるコントロールポリシードリフトの報告](#policy-drift)
+ [新しい `ResetEnabledControl` API](#reset-enabled-control-api)
+ [コントロールカタログの `GetControl` API の更新](#getcontrol-api-update)
+ [AWS Control Tower AFT が GitLab をサポート](#aft-gitlab-support)
+ [AWS アジアパシフィック (マレーシア) リージョンで AWS Control Tower が利用可能に](#kul-region)
+ [AWS Control Tower が OU あたり最大 1000 アカウントをサポート](#1000-accounts)
+ [AWS Control Tower でランディングゾーンバージョンの選択が可能に](#lz-version-select)
+ [記述的なコントロール API が利用可能になり、リージョンとコントロールへのアクセスが拡大](#get-and-list-controls)
+ [AWS Control Tower がオプトインリージョンで AFT と CfCT をサポート](#aft-cfct-regions)
+ [AWS Control Tower に `ListLandingZoneOperations` API を追加](#lz-operations-api)
+ [AWS Control Tower が最大 100 の同時コントロールオペレーションをサポート](#multiple-controls)
+ [AWS Control Tower が AWS カナダ西部 (カルガリー) で利用可能に](#yyc-available)
+ [AWS Control Tower がセルフサービスのクォータ調整をサポート](#service-quotas)
+ [AWS Control Tower の「*Controls Reference Guide*」をリリース](#controls-reference-guide)
+ [AWS Control Tower で 2 つのプロアクティブコントロールを更新し、名前を変更](#update-2-proactive-controls)
+ [非推奨のコントロールが使用不可に](#deprecated-controls)
+ [AWS Control Tower が での`EnabledControl`リソースのタグ付けをサポート CloudFormation](#cfn-tagging)
+ [AWS Control Tower がベースラインを使用した OU 登録と設定用の API をサポート](#baseline-apis)
## AWS Control Tower CfCT が GitHub と RCP をサポート
**2024 年 12 月 9 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、サードパーティーのバージョン管理システム (VCS) のオプションとして GitHubTM をサポートし、AWS Control Tower のカスタマイズ (CFCT) の設定ソースをサポートするようになりました。詳細については、「[GitHub を設定ソースとしてセットアップする](cfct-github-configuration-source.md)」を参照してください。
AWS Control Tower は、AWS Control Tower のカスタマイズ (CFCT) のリソースコントロールポリシー (RCP) をサポートするようになりました。詳細については、「[CfCT カスタマイズガイド](cfct-customizations-dev-guide.md)」を参照してください。
## AWS Control Tower に宣言型ポリシーを使用した予防コントロールを追加
**2024 年 12 月 1 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、宣言ポリシーによって実装される予防コントロールをサポートするようになりました AWS Organizations。宣言型ポリシーは、サービスレベルで直接適用されます。このアプローチにより、サービスによって新機能や API が導入された場合でも、指定された設定が適用されます。詳細については、「[宣言型ポリシーを使用して実装されるコントロール](https://docs.aws.amazon.com//controltower/latest/controlreference/declarative-controls.html)」を参照してください。
## AWS Control Tower に規範バックアッププランオプションを追加
**2024 年 11 月 25 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、データのバックアップと復旧ワークフローをランディングゾーンに直接組み込める規範的な AWS Backup プランをサポートするようになりました。バックアッププランには、保持日数、バックアップの頻度、バックアップが発生する時間枠などの事前定義済みのルールが含まれます。これらのルールは、管理対象メンバーアカウント全体で AWS リソースをバックアップする方法を定義します。ランディングゾーンにバックアッププランを適用すると、AWS Control Tower は、プランがすべてのメンバーアカウントで一貫しており、 AWS Backup からのベストプラクティスの推奨事項と一致していることを確認します。
詳細については、「[AWS Backup と AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/backup.html)」を参照してください。
## AWS Control Tower は AWS Config コントロールを統合します
**2024 年 11 月 21 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は選択した AWS Config コントロールを統合しているため、AWS Control Tower で表示および管理できます。
詳細については、「[AWS Control Tower で使用可能な、統合された AWS Config コントロール](https://docs.aws.amazon.com//controltower/latest/controlreference/config-controls.html)」を参照してください。
## AWS Control Tower でフック管理を改善し、プロアクティブコントロールリージョンを追加
**2024 年 11 月 20 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
このリリースでは、AWS Control Tower による制限なしに、 CloudFormation フックの全容量を利用できます。また、プロアクティブコントロールは、カナダ西部 (カルガリー) リージョンとアジアパシフィック (マレーシア) リージョンでも利用可能です。
以前は、AWS Control Tower のみが変更できるように、環境内のすべての CloudFormation フックを **CT.CLOUDFORMATION.PR.1** コントロールで保護する必要がありました。このリリースでは、AWS Control Tower サービスで以前必要だった制限なしに、 CloudFormation フックをデプロイし、これらのフックを変更できます。
現在、プロアクティブコントロールをデプロイしている場合は、この改善されたフック機能に移行できます。OU のすべてのプロアクティブコントロールをリセットするには、その OU でアクティブな 1 つのプロアクティブコントロールをリセットします。リセットは、`ResetEnabledControl` API を呼び出すか、コンソールからコントロールを更新し、**リセット**機能を使用して実行できます。プロアクティブコントロールにこのリセットタスクを完了すると、AWS Control Tower は OU のすべてのプロアクティブコントロールフックを新しい機能に移行します。プロアクティブコントロールをデプロイする OU ごとにこのプロセスを繰り返します。
プロアクティブコントロールをリセットした後、別の目的でコントロールを有効化していない限り、AWS Control Tower OU の **CT.CLOUDFORMATION.PR.1** コントロールを削除します。**CT.CLOUDFORMATION.PR.1** コントロールをオフにしない場合、他の CloudFormation フックを作成および変更することはできません。
詳細については、「[プロアクティブコントロールのフックを更新する](https://docs.aws.amazon.com//controltower/latest/controlreference/get-new-hooks.html)」を参照してください。
## AWS Control Tower がマネージドリソースコントロールポリシーを起動
**2024 年 11 月 15 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、リソースコントロールポリシー (RCP) で実装された新しいタイプの予防コントロールを提供します。これらのコントロールは、AWS Control Tower 環境全体でデータ境界を確立し、意図しないアクセスからリソースを保護するのに役立ちます。
例えば、Amazon S3、、Amazon SQS AWS Security Token Service AWS Key Management Service、および AWS Secrets Manager サービスの RCP ベースのコントロールを有効にできます。RCP ベースのコントロールは、個々のバケットポリシーに付与されたアクセス許可に関係なく、「組織の Amazon S3 リソースが組織に属する IAM プリンシパルまたは AWS サービスによってのみアクセス可能であることを要求」などの要件を適用できます。
新しい RCP ベースのコントロールと特定の既存の SCP ベースの予防コントロールを設定して、プリンシパルとリソースの AWS IAM 免除を指定できます。プリンシパルまたはリソースをコントロールによって管理しない場合、免除を設定できます。
AWS Control Tower で予防コントロール、プロアクティブコントロール、検出コントロールを組み合わせることで、マルチアカウント AWS 環境が[AWS 、 Foundational Security Best Practices 標準](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html)などのベストプラクティスに従って安全で管理されているかどうかをモニタリングできます。
これらの新しい RCP ベースの予防コントロールは、AWS Control Tower AWS リージョン が利用可能な で利用できます。AWS Control Tower が利用可能な AWS リージョン の完全なリストについては、表を参照してください[AWS リージョン](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower によるコントロールポリシードリフトの報告
**2024 年 11 月 15 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、リソースコントロールポリシー (RCPs) で実装されたコントロール、および **Security Hub CSPM サービスマネージドスタンダード: AWS Control Tower **の一部であるコントロールについて、コントロールポリシーのドリフトを報告するようになりました。このタイプのドリフトは、新しい `ResetEnabledControl` API を通じて修正できます。詳細については、「[Types of governance drift](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html)」を参照してください。
## 新しい `ResetEnabledControl` API
**2024 年 11 月 14 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、コントロールドリフトをプログラムで管理するのに役立つ新しい API を発表しました。コントロールドリフトを修復し、意図した設定にコントロールをリセットできます。`ResetEnabledControl` API は、**強く推奨される**コントロールや**選択的**コントロールを含め、オプションの AWS Control Tower コントロールを操作します。
**コントロールの例外**
+ サービスコントロールポリシーで実装されているコントロールは、この API ではリセットできません。詳細については、「[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)」を参照してください。
+ 必須コントロールは AWS Control Tower リソースを保護するため、リセットできません。
+ ランディングゾーンの**リージョン拒否**コントロールは、コンソールからリセットする必要があります。
コントロールドリフトは、AWS Control Tower コントロールが AWS Organizations コンソールなどから AWS Control Tower の外部で変更されたときに発生します。ドリフトを解決することで、ガバナンス要件のコンプライアンスを確保できます。
## コントロールカタログの `GetControl` API の更新
**2024 年 11 月 8 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、すべてのコントロールの `Implementation` タイプと設定可能な特定のコントロール `Parameters` の 2 つの新しいフィールドを含む、更新された `GetControl` API をサポートするようになりました。
`GetControl` API は AWS Control Towerの `controlcatalog` 名前空間の一部です。
詳細については、「*Control Catalog API リファレンス*」の「[`GetControl` API](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)」を参照してください。
**このリリースには、AWS Control Tower コンソールに表示される関連した変更が含まれています。**
+ 既存のコントロールはすべて AWS Security Hub CSPM `Implementation`、パラメータ値を AWS Config ルールから に変更します AWS Security Hub CSPM。対応するコンソールのヘルプパネルが、この変更を反映するように修正されています。
+ 既存のフックコントロールはすべて`Implementation`、パラメータ値を CloudFormation ガードルールから CloudFormation フックに変更します。対応するコンソールのヘルプパネルが、この変更を反映するように修正されています。
## AWS Control Tower AFT が GitLab をサポート
**2024 年 10 月 23 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、Account Factory for Terraform (AFT) のサードパーティーバージョン管理システム (VCS) と設定ソースのオプションとして、GitLabTM と GitLab セルフマネージドをサポートするようになりました。
## AWS アジアパシフィック (マレーシア) リージョンで AWS Control Tower が利用可能に
**2024 年 10 月 21 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が AWS のアジアパシフィック (マレーシア) リージョンで利用可能になりました。
AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン別のサービス表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower が OU あたり最大 1000 アカウントをサポート
**2024 年 8 月 30 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower では、組織単位 (OU) あたりの最大許容アカウント数が 300 から 1000 に引き上げられました。これで、OU 構造を変更することなく、一度に最大 1000 AWS アカウント を AWS Control Tower ガバナンスに登録できます。OU の登録プロセスと再登録プロセスも効率化されたため、AWS Control Tower ベースラインリソースをアカウントにデプロイする際の所要時間が大幅に短縮されます。
利用可能な CloudFormation スタックセットの数に制限があるため、一部のアカウントの制限が引き続き適用されます。具体的には、OU に登録できるアカウントの最大数は、管理下に置いているリージョンの数によって変わることがあります。詳細については、[https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html](https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html)の[基盤となる AWS サービスに基づく制限](https://docs.aws.amazon.com//controltower/latest/userguide/region-stackset-limitations.html)を参照してください。AWS Control Tower を使用できる AWS リージョン の完全なリストについては、「[AWS リージョン 別のサービス表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower でランディングゾーンバージョンの選択が可能に
**2024 年 8 月 15 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower ランディングゾーンバージョン 3.1 以降を実行している場合は、現在のバージョンのままでランディングゾーンを更新または修復することも、選択したバージョンにアップグレードすることもできます。これまで、ランディングゾーンを更新または修復するには、最新のランディングゾーンバージョンにアップグレードする必要がありました。
ランディングゾーンバージョンを選択することで、環境に加えられる可能性のある変更を評価しながら、バージョンのアップグレードをより柔軟に計画できます。ドリフトを修復してコンプライアンスを維持するか、ランディングゾーン設定を更新するか、最新のランディングゾーンバージョンにアップグレードするかを選択する必要はありません。ランディングゾーンバージョン 3.1 以降を実行している場合は、ランディングゾーン設定を更新またはリセットするときに、現在のバージョンを維持するか、新しいバージョンにアップグレードするかを選択できます。
## 記述的なコントロール API が利用可能になり、リージョンとコントロールへのアクセスが拡大
**2024 年 8 月 6 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、利用可能なコントロールの詳細情報をプログラムで確認するのに役立つ新しい API オペレーションが 2 つ追加されました。この機能により、自動化を使用したコントロールのデプロイが容易になります。
+ [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) API は、ターゲット識別子、コントロール情報の概要、ターゲットリージョンのリスト、ドリフトステータスなど、有効なコントロールの詳細を返します。
+ [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API は、AWS Control Tower のコントロールライブラリで使用可能なすべてのコントロールのページ分割されたリストを返します。
これらの API には、[AWS Control Catalog 名前空間](https://docs.aws.amazon.com//controlcatalog/latest/userguide/what-is-controlcatalog.html)を介してアクセスします。 AWS Control Catalog は AWS Control Tower の一部であり、AWS Control Tower だけでなく、他の AWS のサービスの管理に役立つコントロールが含まれています。この拡張カタログは、複数の AWS サービスのコントロールを統合するため、セキュリティ、コスト、耐久性、オペレーションなどの一般的なユースケースに従って AWS コントロールを表示できます。詳細については、「[Control Catalog API Reference](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html)」を参照してください。
**リージョンの可用性の拡大**
このリリース以降、AWS Control Tower ガバナンスを、(既に) 有効になっているコントロールの一部が利用できない AWS リージョン に拡張できます。また、管理対象リージョンの一部でコントロールがサポートされていない場合でも、より多くのリージョンで特定のコントロールを有効にできるようになりました。
これまで、AWS Control Tower では、有効なコントロールと管理対象リージョンのすべてで一貫性が維持されていなければ、ガバナンスをリージョンに拡張したり、コントロールを有効にしたりすることはできませんでした。このリリースでは、すべての有効なコントロールとすべての管理対象リージョンに対して設定が正しいことをより柔軟に責任を持って確認できます。[AWS Control Tower コントロール APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) と[コントロールカタログ APIs](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html) は、有効なコントロールで保護されている AWS リージョンと、追加のコントロールをデプロイできるリージョンに関する情報を取得するのに役立ちます。リージョンとコントロールの情報は、AWS Control Tower コンソールでも確認できます。
## AWS Control Tower がオプトインリージョンで AFT と CfCT をサポート
**2024 年 7 月 18 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
現在、AWS Control Tower カスタマイズフレームワーク Account Factory for Terraform (AFT) と Customizations for AWS Control Tower (CfCT) は、 AWS リージョンアジアパシフィック (ハイデラバード、ジャカルタ、大阪)、イスラエル (テルアビブ)、中東 (アラブ首長国連邦) の 5 つの追加で利用できます。
Account Factory for Terraform (AFT) は、AWS Control Tower でアカウントのプロビジョニングとカスタマイズに役立つ Terraform パイプラインを設定します。AWS Control Tower (CfCT) のカスタマイズは、 CloudFormation テンプレートとサービスコントロールポリシー (SCPs) を使用して AWS Control Tower ランディングゾーンとアカウントをカスタマイズするのに役立ちます。
詳細については、「AWS Control Tower User Guide」の Account Factory for Terraform と AWS Control Tower のカスタマイズのページを参照してください。AFT の GitHub ページと CfCT の GitHub ページでリリースノートを確認することもできます。AFT と CfCT は、一部の例外を除き、すべての AWS リージョンでサポートされています。詳細については、「[Region limitations](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html)」を参照してください。
## AWS Control Tower に `ListLandingZoneOperations` API を追加
**2024 年 6 月 26 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、ランディングゾーンに最近適用されたオペレーションと現在進行中のオペレーションのリストを取得できる API が追加されました。この API は、最大で 90 日分のランディングゾーンオペレーションとその識別子の履歴を返すことができます。使用例については、「[View the status of your landing zone operations](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html)」を参照してください。
`ListLandingZoneOperations` API の詳細については、「*AWS Control Tower API Reference*」の「[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html)」を参照してください。
## AWS Control Tower が最大 100 の同時コントロールオペレーションをサポート
**2024 年 5 月 20 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が同時実行性の高い複数のコントロールオペレーションをサポートするようになりました。コンソールから、または API を使用して、複数の組織単位 (OU) にわたって最大 100 の AWS Control Tower コントロールオペレーションを同時に送信できます。最大 10 のオペレーションを同時に実行でき、追加のオペレーションはキューに入れられます。このようにして、反復的な制御操作の運用上の負担をかけずに AWS アカウント、複数の にまたがってより標準化された設定をセットアップできます。
進行中のコントロールオペレーションとキューに入れられたコントロールオペレーションのステータスをモニタリングするには、AWS Control Tower コンソールの新しい **[最近の業務]** ページに移動するか、新しい [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html) API を呼び出します。
AWS Control Tower ライブラリには 500 を超えるコントロールが含まれており、さまざまなコントロールの目標、フレームワーク、サービスに対応しています。**[保管中のデータを暗号化]** などの特定のコントロールの目標については、1 つのコントロールオペレーションで複数のコントロールを有効にして、目標を達成できます。この機能により、開発スピードの向上、ベストプラクティスコントロールの導入の迅速化、運用の複雑さの軽減が可能になります。
## AWS Control Tower が AWS カナダ西部 (カルガリー) で利用可能に
**2024 年 5 月 3 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
本日より、カナダ西部 (カルガリー) リージョンで AWS Control Tower をアクティブ化できます。既に AWS Control Tower をデプロイしている場合に、ガバナンス機能をこのリージョンに拡張するには、AWS Control Tower [ランディングゾーン API](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) を使用します。または、コンソールから AWS Control Tower ダッシュボードの **[設定]** ページに移動し、リージョンを選択して、ランディングゾーンを更新します。
カナダ西部 (カルガリー) リージョンは AWS Service Catalogをサポートしていません。このため、AWS Control Tower の一部の機能が異なります。機能の変更点として最も顕著なのは、Account Factory が利用できないことです。ホームリージョンとしてカナダ西部 (カルガリー) を選択した場合、アカウントの更新、アカウントのオートメーションの設定、および Service Catalog が関係するその他のプロセスが他のリージョンと異なります。
**アカウントのプロビジョニング**
カナダ西部 (カルガリー) リージョンで新しいアカウントを作成してプロビジョニングする場合は、AWS Control Tower の外部でアカウントを作成し、登録済みの OU に登録することをお勧めします。詳細については、「[Enroll an existing account](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html)」と「[Steps to enroll an account](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html#enrollment-steps)」を参照してください。
Service Catalog API は、カナダ西部 (カルガリー) リージョンでは利用できません。「[Automate account provisioning in AWS Control Tower by Service Catalog APIs](https://docs.aws.amazon.com//controltower/latest/userguide/automated-provisioning-walkthrough.html)」に示されているスクリプトの例は機能しません。
Account Factory Customizations (AFC)、Account Factory for Terraform (AFT)、および AWS Control Tower のカスタマイズ (CfCT) は、AWS Control Tower の基盤となる他の依存関係がないため、カナダ西部 (カルガリー) では利用できません。ガバナンスをカナダ西部 (カルガリー) リージョンに拡張する場合、Service Catalog がホームリージョンで利用できる限り、AWS Control Tower がサポートするすべてのリージョンで AFC ブループリントを引き続き管理できます。
**コントロール**
**AWS Security Hub CSPM サービスマネージドスタンダード: AWS Control Tower** のプロアクティブコントロールとコントロールは、カナダ西部 (カルガリー) リージョンでは利用できません。予防コントロール `CT.CLOUDFORMATION.PR.1` は、フックベースのプロアクティブコントロールのアクティブ化にのみ必要であるため、カナダ西部 (カルガリー) では利用できません。に基づく特定の検出コントロール AWS Config は使用できません。詳細については、「[コントロールの制限事項](control-limitations.md)」を参照してください。
**ID プロバイダー**
IAM アイデンティティセンターは、カナダ西部 (カルガリー) では利用できません。推奨されるベストプラクティスは、IAM アイデンティティセンターが利用可能なリージョンでランディングゾーンをセットアップすることです。または、カナダ西部 (カルガリー) で外部 ID プロバイダーを使用する場合、アカウントのアクセス設定を自己管理することもできます。
カナダ西部 (カルガリー) リージョンで Service Catalog を使用できない場合でも、AWS Control Tower でサポートされている他のリージョンには影響しません。これらの違いは、ホームリージョンがカナダ西部 (カルガリー) である場合にのみ適用されます。
AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン別のサービス表]( https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower がセルフサービスのクォータ調整をサポート
**2024 年 4 月 25 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が Service Quotas コンソールを通じてセルフサービスのクォータ調整をサポートするようになりました。詳細については、「[クォータ引き上げをリクエストする](request-an-increase.md)」を参照してください。
## AWS Control Tower の「*Controls Reference Guide*」をリリース
**2024 年 4 月 21 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower の「*Controls Reference Guide*」がリリースされました。これは、AWS Control Tower 環境に固有のコントロールに関する詳細情報が記載された新しいドキュメントです。これまで、この資料は「*AWS Control Tower User Guide*」に含まれていました。「*Controls Reference Guide*」では、コントロールについて拡張形式で説明しています。詳細については、「[AWS Control Tower Controls Reference Guide](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)」を参照してください。
## AWS Control Tower で 2 つのプロアクティブコントロールを更新し、名前を変更
**2024 年 3 月 26 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、Amazon OpenSearch Service の更新に合わせて 2 つのプロアクティブコントロールの名前が変更されました。
+ [**[CT.OPENSEARCH.PR.8]** TLSv1.2 を使用するには Elasticsearch Service ドメインが必要です](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-8-description)
+ [**[CT.OPENSEARCH.PR.16 ]** TLSv1.2 を使用するには Amazon OpenSearch Service ドメインが必要です](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-16-description)
Amazon OpenSearch Service の最近のリリースに合わせて、この 2 つのコントロールのコントロール名とアーティファクトを更新しました。Amazon OpenSearch Service では、ドメインエンドポイントのセキュリティ用のトランスポートセキュリティオプションとして [Transport Layer Security (TLS) バージョン 1.3 がサポートされるようになっています](https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-opensearch-service-tls-1-3-perfect-forward-secrecy)。
これらのコントロールでの TLSv1.3 のサポートを追加するために、コントロールのアーティファクトと名前を更新して、コントロールの意図を反映させました。サービスドメインの最小 TLS バージョンが評価されるようになりました。ご使用の環境でこの更新を行うには、コントロールを **[無効]** にしてから **[有効]** にして、最新のアーティファクトをデプロイする必要があります。
この変更の影響を受けるその他のプロアクティブコントロールはありません。これらのコントロールを確認して、コントロールの目標が確実に達成されるようにすることをお勧めします。
ご質問やご不明な点がある場合は、[AWS サポート](https://aws.amazon.com/support)にお問い合わせください。
## 非推奨のコントロールが使用不可に
**2024 年 3 月 12 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower でいくつかのコントロールが廃止されました。これらのコントロールは使用できなくなりました。
+ CT.ATHENA.PR.1
+ CT.CODEBUILD.PR.4
+ CT.AUTOSCALING.PR.3
+ SH.Athena.1
+ SH.Codebuild.5
+ SH.AutoScaling.4
+ SH.SNS.1
+ SH.SNS.2
## AWS Control Tower が での`EnabledControl`リソースのタグ付けをサポート CloudFormation
**2024 年 2 月 22 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
この AWS Control Tower リリースでは、`EnabledControl` リソースの動作を更新することで、設定可能なコントロールとの連携を強化するとともに、AWS Control Tower 環境をオートメーションによって管理する機能を向上させています。このリリースでは、 CloudFormation テンプレートを使用して設定可能な `EnabledControl` リソースにタグを追加できます。これまで、タグを追加できたのは AWS Control Tower コンソールと API を使用する場合のみでした。
AWS Control Tower の `GetEnabledControl`、`EnableControl`、`ListTagsforResource` API オペレーションは、`EnabledControl` リソースの機能を利用しているため、このリリースで更新されます。
詳細については、「[Tagging `EnabledControl` resources in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/controlreference/tagging.html)」と「*CloudFormation User Guide*」の「[https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html)」を参照してください。
## AWS Control Tower がベースラインを使用した OU 登録と設定用の API をサポート
**2024 年 2 月 14 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
これらの API は、`EnableBaseline` の呼び出しを使用したプログラムによる OU 登録をサポートします。OU でベースラインを有効にすると、OU 内のメンバーアカウントが AWS Control Tower ガバナンスに登録されます。特定の注意事項が適用される場合があります。例えば、AWS Control Tower コンソールを介して OU を登録すると、オプションのコントロールと必須のコントロールが有効になります。API を呼び出す際には、オプションのコントロールが有効になるように追加のステップを実行する必要が生じる場合があります。
AWS Control Tower *ベースライン*とは、OU とメンバーアカウントの AWS Control Tower ガバナンスのベストプラクティスを具体化したものです。たとえば、OU でベースラインを有効にすると、OU 内のメンバーアカウントは、 AWS CloudTrail、、IAM Identity Center AWS Config、必要な IAM AWS ロールなど、定義されたリソースグループを受け取ります。
特定のベースラインは、特定の AWS Control Tower ランディングゾーンバージョンと互換性があります。ランディングゾーン設定を変更する際、AWS Control Tower は互換性のある最新のベースラインをランディングゾーンに適用できます。詳細については、「[OU ベースラインとランディングゾーンバージョンの互換性](table-of-baselines.md)」を参照してください。
**このリリースには、基本的な[ベースラインのタイプ](types-of-baselines.md)が 4 つ含まれています**
+ `AWSControlTowerBaseline`
+ `AuditBaseline`
+ `LogArchiveBaseline`
+ `IdentityCenterBaseline`
新しい API と定義済みのベースラインを使用すると、OU を登録して、OU のプロビジョニングワークフローを自動化できます。API では、既に AWS Control Tower のガバナンス下にある OU の管理も行えるため、ランディングゾーンの更新後に OU を再登録できます。APIs には CloudFormation `EnabledBaseline`リソースのサポートが含まれており、Infrastructure as Code (IaC) を使用して OUsを管理できます。
**ベースライン API**
+ **EnableBaseline**、**UpdateEnabledBaseline**、**DisableBaseline**: OU のベースラインに対してアクションを実行します。
+ **GetEnabledBaseline**、**ListEnabledBaselines**: 有効なベースラインの設定を検出します。
+ **GetBaselineOperation**: 特定のベースラインオペレーションのステータスを表示します。
+ **ResetEnabledBaseline**: ベースラインが有効になっている OU のリソースドリフト (ネストされた OU と必須コントロールのドリフトを含む) を修正します。ランディングゾーンレベルのリージョン拒否コントロールのドリフトも修正します。
+ **GetBaseline**、**ListBaselines**: AWS Control Tower ベースラインの内容を検出します。
これらの API の詳細については、「AWS Control Tower User Guide」の「[Baselines](https://docs.aws.amazon.com//controltower/latest/userguide/table-of-baselines.html)」と「[API Reference](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)」を参照してください。新しい APIsは、GovCloud (米国) リージョンを除き、AWS Control Tower が利用可能な AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。
# 2023 年 1 月~12 月
2023 年、AWS Control Tower は次の更新をリリースしました。
+ [新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 3)](#phase-3-tos-external)
+ [AWS Control Tower ランディングゾーンバージョン 3.3](#lz-3-3)
+ [新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 2)](#phase-2-tos-external)
+ [AWS Control Tower がデジタル主権を支援するコントロールを発表](#digital-sovereignty)
+ [AWS Control Tower ランディングゾーン API](#landing-zone-apis)
+ [AWS Control Tower コントロールのタグ付け API](#control-tagging-apis)
+ [AWS アジアパシフィック (メルボルン) で利用可能な AWS Control Tower](#mel-region)
+ [新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 1)](#transition-sc-tos-external)
+ [AWS Control Tower で新しいコントロール API が追加されました](#new-control-api)
+ [AWS Control Tower で新しいコントロールが追加されました](#q3-new-controls)
+ [AWS Control Tower で信頼されるアクセスドリフトを検出する](#trust-access-drift)
+ [AWS Control Tower が 4 つの追加で利用可能に AWS リージョン](#four-regions)
+ [AWS イスラエル (テルアビブ) で AWS Control Tower が利用可能に](#new-tlv-region)
+ [AWS Control Tower に 28 個の新しいプロアクティブコントロールを追加](#28-proactive-controls)
+ [AWS Control Tower で 2 つのコントロールが廃止されます](#deprecate-2controls)
+ [AWS Control Tower ランディングゾーンバージョン 3.2](#lz-3-2)
+ [AWS Control Tower に IAM Identity Center の email-to-IDマッピングが追加されました](#email-to-id)
+ [AWS Control Tower が AWS Security Hub CSPM コントロールを追加](#more-sh-controls)
+ [AWS Control Tower が AWS Security Hub CSPM コントロールのメタデータを発行する](#publish-metadata)
+ [AWS Control Tower に Terraform 用の Account Factory Customization (AFC) を追加](#afc-terraform)
+ [AWS Control Tower にセルフマネージド IAM アイデンティティセンターを追加](#iam-self-manage)
+ [AWS Control Tower に 混合ガバナンスの注意事項を追加](#mixed-governance-note)
+ [AWS Control Tower に新しいプロアクティブコントロールを追加](#new-proactive-controls)
+ [AWS Control Tower で Amazon EC2 コントロールを更新する](#updated-ec2-controls)
+ [AWS Control Tower が 7 つの追加で利用可能に AWS リージョン](#seven-regions)
+ [AWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般利用可能](#account-customization-request-tracing-ga)
+ [AWS Control Tower ランディングゾーンバージョン 3.1](#lz-3-1)
+ [AWS Control Tower プロアクティブコントロールが一般利用可能](#proactive-control-ga)
## 新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 3)
**2023 年 12 月 14 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、新規作成時に製品タイプ (ブループリント) として *Terraform Open Source* をサポートしなくなりました AWS アカウント。アカウントブループリントの更新の詳細と手順については、[AWS Service Catalog 「外部製品タイプへの移行](https://docs.aws.amazon.com//controltower/latest/userguide/service-catalog.html)」を参照してください。
*External* 製品タイプを使用するようにアカウントブループリントを更新しない場合、Terraform オープンソースブループリントを使用してプロビジョニングしたアカウントの更新または終了のみが可能です。
## AWS Control Tower ランディングゾーンバージョン 3.3
**2023 年 12 月 14 日**
(AWS Control Tower ランディングゾーンをバージョン 3.3 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください)。
**AWS Control Tower 監査アカウントの S3 バケットポリシーの更新**
AWS Control Tower がアカウントにデプロイする Amazon S3 監査バケットポリシーが変更されました。これにより、すべての書き込みアクセス許可のためには `aws:SourceOrgID` 条件を満たす必要があります。このリリースでは、リクエストが組織または組織単位 (OU) から送信された場合にのみ、 AWS サービスはリソースにアクセスできます。
`aws:SourceOrgID` 条件キーを使用して、S3 バケットポリシーの条件要素で **[組織 ID]** の値を設定できます。この条件によってのみ、CloudTrail は組織内のアカウントに代わってお客様の S3 バケットへログを書き込めるようになり、組織外の CloudTrail ログによるお客様の AWS Control Tower S3 バケットへの書き込みを防ぎます。
この変更は、既存のワークロードの機能に影響を与えることなく、潜在的なセキュリティ上の脆弱性を修正するために行われました。更新されたポリシーを表示する方法については、「[監査アカウントの Amazon S3 バケットポリシー](logging-s3-audit-bucket.md)」を参照してください。
新しい条件キーの詳細については、IAM ドキュメントと*「リソースにアクセスする AWS サービスにスケーラブルなコントロールを使用する*」というタイトルの IAM ブログ記事を参照してください。
**SNS AWS Config トピックのポリシーの更新**
AWS Config SNS のポリシーに新しい`aws:SourceOrgID`条件キーを追加しました。更新されたポリシー topic.To を表示します。[AWS Config 「SNS トピックポリシー](https://docs.aws.amazon.com//controltower/latest/userguide/receive-notifications.html#config-sns-policy)」を参照してください。
**ランディングゾーンのリージョン拒否コントロールの更新**
+ `discovery-marketplace:` を削除しました。このアクションは `aws-marketplace:*` 除外の対象となります。
+ 「`quicksight:DescribeAccountSubscription`」を追加
** CloudFormation テンプレートの更新**
AWS KMS 暗号化が使用されていない場合に がドリフトを表示しないように`BASELINE-CLOUDTRAIL-MASTER`、 という名前のスタックの CloudFormation テンプレートを更新しました。
## 新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 2)
**2023 年 12 月 7 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
HashiCorp が Terraform ライセンスを更新しました。その結果、*Terraform Open Source* 製品とプロビジョニング済み製品のサポートが *External* という新しい製品タイプ AWS Service Catalog に変更されました。
アカウント内の既存のワークロードと AWS リソースの中断を回避するには、2023 年 12 月 14 日までに[AWS Service Catalog 「外部製品タイプへの移行」の「AWS Control Tower の移行](af-customization-page.md#service-catalog-external-product-type)手順」に従ってください。
## AWS Control Tower がデジタル主権を支援するコントロールを発表
**2023 年 11 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、デジタル主権要件を満たすのに役立つ 65 の新しい AWSマネージドコントロールを発表しました。このリリースでは、これらのコントロールを AWS Control Tower コンソールの新しいデジタル主権グループで確認できます。**これらのコントロールを利用することで、*データレジデンシー*、*きめ細かなアクセス制限*、*暗号化*、*レジリエンシー*機能に関するアクションを防止したり、リソースの変更を検出したりできます。これらのコントロールは、要件に対して大規模かつ簡単に対応できるように設計されています。デジタル主権コントロールの詳細については、「[Controls that enhance digital sovereignty protection](https://docs.aws.amazon.com//controltower/latest/controlreference/digital-sovereignty-controls.html)」を参照してください。
たとえば、** AWS AppSync API キャッシュで転送中の暗号化を有効にしたり、Network Firewall を複数のアベイラビリティーゾーンにデプロイ****したりする必要があるなど、 AWS **暗号化と回復戦略を適用するのに役立つコントロールを有効にすることができます。また、AWS Control Tower のリージョン拒否コントロールをカスタマイズして、独自のビジネスニーズに最適なリージョン別の制限を適用することもできます。
このリリースでは、AWS Control Tower のリージョン拒否機能が大幅に強化されています。パラメータ化された新しいリージョン拒否コントロールを OU レベルで適用して、ガバナンスの細分性を高めながら、ランディングゾーンレベルでの追加のリージョンガバナンスを維持できます。このカスタマイズ可能なリージョン拒否コントロールにより、独自のビジネスニーズに最適なリージョン別の制限を適用できます。新しい設定可能なリージョン拒否コントロールの詳細については、「[Region deny control applied to the OU](https://docs.aws.amazon.com//controltower/latest/controlreference/ou-region-deny.html)」を参照してください。
リージョン拒否の新しい強化ツールとして、このリリースには新しい API、`UpdateEnabledControl` が含まれています。これにより、有効にしたコントロールをデフォルト設定にリセットできます。この API は、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態でないことをプログラムで確認する必要がある場合に特に役立ちます。新しい API の詳細については、「[AWS Control Tower API リファレンス](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)」を参照してください。
**新しいプロアクティブコントロール**
+ CT.APIGATEWAY.PR.6: Amazon API Gateway REST ドメインでは TLS プロトコルの最小バージョン TLSv1.2 を指定するセキュリティポリシーを使用する必要があります
+ CT.APPSYNC.PR.2: AWS AppSync GraphQL API をプライベート可視性で設定する必要があります
+ CT.APPSYNC.PR.3: AWS AppSync GraphQL API が API キーで認証されていない必要があります
+ CT.APPSYNC.PR.4: AWS AppSync GraphQL API キャッシュで転送中の暗号化を有効にする必要があります。
+ CT.APPSYNC.PR.5: AWS AppSync GraphQL API キャッシュで保管時の暗号化を有効にする必要があります。
+ CT.AUTOSCALING.PR.9: Amazon EC2 Auto Scaling 起動設定を使用して設定した Amazon EBS ボリュームでは、保管中のデータを暗号化する必要があります
+ CT.AUTOSCALING.PR.10: 起動テンプレートを上書きするときに、Amazon EC2 Auto Scaling グループが AWS Nitro インスタンスタイプのみを使用する必要がある
+ CT.AUTOSCALING.PR.11: 起動テンプレートを上書きするときに、インスタンス間のネットワークトラフィックの暗号化をサポートする AWS Nitro インスタンスタイプのみを Amazon EC2 Auto Scaling グループに追加する必要があります
+ CT.DAX.PR.3: DynamoDB Accelerator クラスターでは Transport Layer Security (TLS) を使用して転送中のデータを暗号化する必要があります
+ CT.DMS.PR.2: AWS Database Migration Service (DMS) エンドポイントがソースエンドポイントとターゲットエンドポイントの接続を暗号化する必要がある
+ CT.EC2.PR.15: Amazon EC2 インスタンスは、`AWS::EC2::LaunchTemplate` リソースタイプから作成する場合、 AWS Nitro インスタンスタイプを使用する必要があります
+ CT.EC2.PR.16: Amazon EC2 インスタンスは、`AWS::EC2::Instance` リソースタイプを使用して作成した場合、 AWS Nitro インスタンスタイプを使用する必要があります
+ CT.EC2.PR.17: Amazon EC2 専有ホストでは AWS Nitro インスタンスタイプを使用する必要があります
+ CT.EC2.PR.18: Amazon EC2 フリートは、これらの起動テンプレートのみを AWS Nitro インスタンスタイプで上書きする必要があります
+ CT.EC2.PR.19: Amazon EC2 インスタンスは、`AWS::EC2::Instance` リソースタイプを使用して作成した場合、インスタンス間の転送中の暗号化をサポートする Nitro インスタンスタイプを使用する必要があります
+ CT.EC2.PR.20: Amazon EC2 フリートは、インスタンス間の転送中の暗号化をサポートする AWS Nitro インスタンスタイプを持つ起動テンプレートのみを上書きする必要があります。
+ CT.ELASTICACHE.PR.8: 新しい Redis バージョンの Amazon ElastiCache レプリケーショングループでは RBAC 認証をアクティブにする必要があります
+ CT.MQ.PR.1: Amazon MQ ActiveMQ ブローカーでは、高可用性を確保するためにアクティブ/スタンバイデプロイモードを使用する必要があります
+ CT.MQ.PR.2: Amazon MQ Rabbit MQ ブローカーでは、高可用性を確保するためにマルチ AZ クラスターモードを使用する必要があります
+ CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、クラスターブローカーノード間の転送中の暗号化を適用する必要があります
+ CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、PublicAccess を無効に設定する必要があります
+ CT.NETWORK-FIREWALL.PR.5: AWS Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります
+ CT.RDS.PR.26: Amazon RDS DB Proxy は Transport Layer Security (TLS) 接続を要求する必要があります
+ CT.RDS.PR.27: Amazon RDS DB クラスターパラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります
+ CT.RDS.PR.28: Amazon RDS DB パラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります
+ CT.RDS.PR.29: Amazon RDS クラスターは、「PubliclyAccessible」プロパティを使用してパブリックでアクセスできないように設定する必要があります
+ CT.RDS.PR.30: Amazon RDS データベースインスタンスでは、サポートしているエンジンタイプのために指定した KMS キーを使用するように保管中の暗号化を設定する必要があります
+ CT.S3.PR.12: Amazon S3 のアクセスポイントでは、パブリックアクセスブロック (BPA) 設定のすべてのオプションを true に設定する必要があります
**新しい予防コントロール**
+ CT.APPSYNC.PV.1 AWS AppSync GraphQL API がプライベート可視性で設定されている必要があります
+ CT.EC2.PV.1 Amazon EBS スナップショットは、暗号化した EC2 ボリュームから作成する必要があります
+ CT.EC2.PV.2 アタッチした Amazon EBS ボリュームは、保管中のデータを暗号化するように設定する必要があります
+ CT.EC2.PV.3 Amazon EBS スナップショットはパブリックに復元できないようにする必要があります
+ CT.EC2.PV.4 Amazon EBS direct API が呼び出されないようにする必要があります
+ CT.EC2.PV.5 Amazon EC2 VM のインポートとエクスポートの使用を禁止します
+ CT.EC2.PV.6 廃止された Amazon EC2 RequestSpotFleet および RequestSpotInstances API アクションの使用を禁止します
+ CT.KMS.PV.1 AWS サービスへの AWS KMS 許可の作成を制限するステートメントを AWS KMS キーポリシーに要求する
+ CT.KMS.PV.2 暗号化に使用される RSA キーマテリアルを持つ AWS KMS 非対称キーのキー長が 2048 ビットでない必要があります
+ CT.KMS.PV.3 バイパスポリシーのロックアウト安全チェックを有効にして AWS KMS キーを設定する必要があります
+ CT.KMS.PV.4 AWS KMS カスタマーマネージドキー (CMK) が AWS CloudHSM から発信されるキーマテリアルで設定されている必要があります
+ CT.KMS.PV.5 AWS KMS カスタマーマネージドキー (CMK) がインポートされたキーマテリアルで設定されている必要があります
+ CT.KMS.PV.6 AWS KMS カスタマーマネージドキー (CMK) は、外部キーストア (XKS) から発信されるキーマテリアルで設定する必要があります。
+ CT.LAMBDA.PV.1 AWS Lambda 関数 URL に AWS IAM ベースの認証の使用を要求する
+ CT.LAMBDA.PV.2 AWS Lambda 関数 URL は、 内のプリンシパルのみがアクセスできるように設定する必要があります。 AWS アカウント
## AWS Control Tower ランディングゾーン API
**2023 年 11 月 26 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、プログラムを使用してランディングゾーンを管理できる API が提供されるようになりました。これらの API を使用すると、ランディングゾーンを作成、更新、リセットしたり、ランディングゾーンの設定とオペレーションに関する情報を取得したりできます。詳細については、「[ランディングゾーン API の例](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html)」を参照してください。
ランディングゾーン APIsは、 GovCloud (米国) AWS リージョン リージョンを除く、AWS Control Tower が利用可能なすべての で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower コントロールのタグ付け API
**2023 年 11 月 10 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、プログラムを使用して有効なコントロールにタグ付けする API が提供されるようになりました。これらの API を使用すると、有効なコントロールのタグを追加、削除、一覧表示できます。詳細については、「[AWS Control Tower リソースのタグ付け](https://docs.aws.amazon.com//controltower/latest/userguide/tagging-resources.html)」を参照してください。
コントロールタグ付け APIsは、 GovCloud (米国) リージョンを除く、AWS Control Tower AWS リージョン が利用可能なすべての で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS アジアパシフィック (メルボルン) で利用可能な AWS Control Tower
**2023 年 11 月 3 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower がアジアパシフィック (メルボルン) で利用可能です。AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## 新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 1)
**2023 年 10 月 31 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
HashiCorp が Terraform ライセンスを更新しました。その結果、*Terraform Open Source* 製品とプロビジョニング済み製品のサポートが *External* という新しい製品タイプ AWS Service Catalog に変更されました。
アカウント内の既存のワークロードと AWS リソースの中断を回避するには、2023 年 12 月 14 日までに[AWS Service Catalog 「外部製品タイプへの移行](af-customization-page.md#service-catalog-external-product-type)」の「AWS Control Tower の移行手順」に従ってください。
## AWS Control Tower で新しいコントロール API が追加されました
**2023 年 10 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、有効なコントロールを更新できる新しい API、`UpdateEnabledControl` が提供されるようになりました。この API は、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態でないことをプログラムで確認する必要がある場合に特に役立ちます。新しい API の詳細については、「[AWS Control Tower API リファレンス](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)」を参照してください。
`UpdateEnabledControl` API は、 GovCloud (米国) リージョンを除く、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower で新しいコントロールが追加されました
**2023 年 10 月 20 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、AWS Control Tower コントロールライブラリに 22 個の新しいコントロールが追加されました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower で信頼されるアクセスドリフトを検出する
**2023 年 10 月 13 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、信頼されるアクセス設定のドリフトを検出して報告するようになりました。信頼できるアクセス設定により、AWS Control Tower はユーザーに代わって他の AWS サービスとやり取りできます。これらの設定が AWS Control Tower の外部で変更された場合、AWS Control Tower はドリフトを検出し、AWS Control Tower コンソールで報告します。信頼されるアクセスのドリフトに関する詳細については、「[ガバナンスドリフトのタイプ](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)」を参照してください。
信頼できるアクセスドリフト検出は、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower が 4 つの追加で利用可能に AWS リージョン
**2023 年 9 月 29 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、アジアパシフィック (ハイデラバード) AWS リージョン、アジアパシフィック (ジャカルタ)、欧州 (スペイン)、欧州 (チューリッヒ) の 4 つの追加で利用できます。AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS イスラエル (テルアビブ) で AWS Control Tower が利用可能に
**2023 年 8 月 1 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower がイスラエル (テルアビブ) で利用可能です。AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower に 28 個の新しいプロアクティブコントロールを追加
**2023 年 7 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、AWS Control Tower コントロールライブラリに 28 個の新しいプロアクティブコントロールが追加されました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower で 2 つのコントロールが廃止されます
**2023 年 7 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、CT.CLOUDFORMATION.PR.2 と CT.CLOUDFORMATION.PR.3 の 2 つのコントロールが廃止されました。これらのコントロールは、AWS Control Tower のコントロールライブラリで利用できなくなりました。廃止されたコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
廃止されたコントロールは、どの でも使用できなくなりました AWS リージョン。
## AWS Control Tower ランディングゾーンバージョン 3.2
**2023 年 6 月 16 日**
(AWS Control Tower ランディングゾーンをバージョン 3.2 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください)。
AWS Control Tower ランディングゾーンバージョン 3.2 では、 AWS Security Hub CSPM **サービスマネージドスタンダード: AWS Control Tower** の一部であるコントロールが一般公開されています。この標準に含まれるコントロールのドリフトステータスを AWS Control Tower コンソールで表示する機能が導入されました。
このアップデートには、**AWSServiceRoleForAWSControlTower** と呼ばれる新しいサービスにリンクされたロール (SLR) が含まれています。このロールは、各メンバーアカウントに **AWSControlTowerManagedRule** と呼ばれる EventBridge マネージドルールを作成することで AWS Control Tower を支援します。このマネージドルールは、AWS Control Tower を使用して から AWS Security Hub CSPM **検出**イベントを収集し、コントロールドリフトを判断できます。
このルールは、AWS Control Tower によって作成される最初のマネージドルールです。ルールはスタックによってデプロイされるのではなく、EventBridge API から直接デプロイされます。ルールは EventBridge コンソールで確認することも、EventBridge API を使用して表示することもできます。`managed-by` フィールドに入力すると、AWS Control Tower のサービスプリンシパルが表示されます。
以前は、AWS Control Tower は **AWSControlTowerExecution** ロールを前提として、メンバーアカウントで操作を実行していました。この新しいロールとルールは、マルチアカウント AWS 環境でオペレーションを実行するときに最小特権を許可するというベストプラクティスの原則により適しています。新しいロールでは、メンバーアカウントでのマネージドルールの作成、マネージドルールの管理、SNS によるセキュリティ通知の公開、ドリフトの検証など、具体的に許可する範囲を絞ったアクセス許可が提供されます。詳細については、「[AWSServiceRoleForAWSControlTower](access-control-managing-permissions.md#AWSServiceRoleForAWSControlTower)」を参照してください。
ランディングゾーン 3.2 のアップデートには、管理アカウントに新しい StackSet リソース、`BP_BASELINE_SERVICE_LINKED_ROLE` も含まれています。これは、サービスにリンクされたロールを最初にデプロイします。
Security Hub CSPM コントロールドリフト (ランディングゾーン 3.2 以降) を報告すると、AWS Control Tower は Security Hub CSPM から毎日のステータス更新を受け取ります。コントロールはすべての管理対象リージョンでアクティブですが、AWS Control Tower は AWS Security Hub CSPM **検出**イベントを AWS Control Tower ホームリージョンにのみ送信します。詳細については、「[Security Hub control drift reporting](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html#sh-drift)」を参照してください。
**リージョン拒否コントロールの更新**
このランディングゾーンバージョンには、リージョン拒否コントロールの更新も含まれています。
**追加されたグローバルサービスと API**
+ AWS Billing and Cost Management (`billing:*`)
+ AWS CloudTrail (`cloudtrail:LookupEvents`) は、メンバーアカウントのグローバルイベントを可視化します。
+ AWS 一括請求 (`consolidatedbilling:*`)
+ AWS マネジメントコンソールモバイルアプリケーション (`consoleapp:*`)
+ AWS 無料利用枠 (`freetier:*`)
+ AWS Invoicing (`invoicing:*`)
+ AWS IQ (`iq:*`)
+ AWS ユーザー通知 (`notifications:*`)
+ AWS ユーザー通知の連絡先 (`notifications-contacts:*`)
+ Amazon Payments (`payments:*`)
+ AWS 税設定 (`tax:*`)
**削除されたグローバルサービスと API**
+ 有効なアクションではないため、`s3:GetAccountPublic` は削除されました。
+ 有効なアクションではないため、`s3:PutAccountPublic` は削除されました。
## AWS Control Tower に IAM Identity Center の email-to-IDマッピングが追加されました
**2023 年 7 月 13 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で IAM Identity Center の email-to-ID マッピングがサポートされるようになりました。この機能を使用すると、E メールアドレスを IAM Identity Center ユーザー ID にマッピングし、AWS Control Tower 環境へのユーザーアクセスを簡単に管理できます。email-to-ID マッピングの詳細については、「[IAM Identity Center との統合](https://docs.aws.amazon.com//controltower/latest/userguide/sso-integration.html)」を参照してください。
Email-to-IDマッピングは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower が AWS Security Hub CSPM コントロールを追加
**2023 年 6 月 29 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、AWS Control Tower の AWS Security Hub CSPM コントロールライブラリにコントロールを追加しました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower が AWS Security Hub CSPM コントロールのメタデータを発行する
**2023 年 6 月 22 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が AWS Security Hub CSPM コントロールのメタデータを発行するようになりました。このメタデータには、コントロール ID、コントロールタイトル、コントロールの説明など、コントロールに関する情報が含まれます。メタデータの詳細については、「[コントロールのメタデータ](https://docs.aws.amazon.com//controltower/latest/userguide/control-metadata.html)」を参照してください。
コントロールメタデータは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower に Terraform 用の Account Factory Customization (AFC) を追加
**2023 年 6 月 15 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に Terraform 用の Account Factory Customization (AFC) が追加されました。この機能を使用すると、Terraform を使用して AWS Control Tower アカウントをカスタマイズできます。AFC for Terraform の詳細については、「[Account Factory for Terraform のカスタマイズ](https://docs.aws.amazon.com//controltower/latest/userguide/afc-terraform.html)」を参照してください。
AFC for Terraform は、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower にセルフマネージド IAM アイデンティティセンターを追加
**2023 年 6 月 8 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower でセルフマネージド IAM アイデンティティセンターがサポートされるようになりました。この機能を使用すると、AWS Control Tower で独自の ID プロバイダーを使用できます。セルフマネージド IAM Identity Center の詳細については、「[IAM Identity Center](https://docs.aws.amazon.com//controltower/latest/userguide/iam-identity-center.html)」を参照してください。
セルフマネージド IAM アイデンティティセンターは、AWS Control Tower が利用可能なすべての AWS リージョン で利用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower に 混合ガバナンスの注意事項を追加
**2023 年 6 月 1 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、混合ガバナンスに関する注意事項が追加されました。このノートでは、AWS Control Tower が他の AWS サービスと連携してリソースの AWS ガバナンスを提供する方法について説明します。混合ガバナンスの詳細については、「[混合ガバナンス](https://docs.aws.amazon.com//controltower/latest/userguide/mixed-governance.html)」を参照してください。
混合ガバナンスノートは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower に新しいプロアクティブコントロールを追加
**2023 年 5 月 25 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、AWS Control Tower コントロールライブラリに新しいプロアクティブコントロールが追加されました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower で Amazon EC2 コントロールを更新する
**2023 年 5 月 18 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、AWS Control Tower コントロールライブラリの Amazon EC2 コントロールが更新されました。これらの更新により、AWS Control Tower 環境のセキュリティと信頼性が向上します。更新されたコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
更新されたコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower が 7 つの追加で利用可能に AWS リージョン
**2023 年 5 月 11 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は AWS リージョン、アジアパシフィック (大阪)、カナダ (中部)、欧州 (ミラノ)、欧州 (ストックホルム)、中東 (バーレーン)、中東 (アラブ首長国連邦)、南米 (サンパウロ) の 7 つの追加で利用できます。AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般利用可能
**2023 年 4 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般利用可能になりました。AFC では AWS Control Tower アカウントをカスタマイズでき、リクエストトレースにより AWS Control Tower リクエストのステータスを追跡できます。AFC とリクエストトレースの詳細については、「[Account Factory のカスタマイズ](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-customization.html)」と「[リクエストのトレース](https://docs.aws.amazon.com//controltower/latest/userguide/request-tracing.html)」を参照してください。
AFC とリクエストのトレースは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower ランディングゾーンバージョン 3.1
2023 年 2 月 9 日
(AWS Control Tower のランディングゾーンをバージョン 3.1 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください)
AWS Control Tower ランディングゾーンバージョン 3.1 には、次の更新が含まれています。
+ 今回のリリースでは、AWS Control Tower は*アクセスログバケット* (アクセスログが Log Archive アカウントに保存される Amazon S3 バケット) の不要なアクセスログを無効化し、S3 バケットのサーバーアクセスログを引き続き有効にします。このリリースには、 サポート Plans や などのグローバルサービスに追加のアクションを許可するリージョン拒否コントロールの更新も含まれています AWS Artifact。
+ AWS Control Tower アクセスログバケットのサーバーアクセスログ記録を無効にすると、Security Hub CSPM は Log Archive アカウントの*アクセスログバケット*の結果を作成します。 AWS Security Hub CSPM ルールにより、[[S3.9] S3 バケットサーバーのアクセスログ記録を有効にする必要があります](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9)。Security Hub CSPM に合わせて、このルールの Security Hub CSPM の説明に記載されているように、この特定の検出結果を抑制することをお勧めします。追加情報については、「[非表示の結果に関する情報](https://docs.aws.amazon.com//securityhub/latest/userguide/finding-workflow-status.html)」を参照してください。
+ Log Archive アカウントの (通常の) ログバケットのアクセスログは、バージョン 3.1 でも変更されていません。ベストプラクティスに従い、そのバケットのアクセスイベントは、*アクセスログバケット*にログエントリとして記録されます。アクセスログの詳細については、Amazon S3 ドキュメントの「[サーバーアクセスログを使用したリクエストのログ記録](https://docs.aws.amazon.com//AmazonS3/latest/userguide/ServerLogs.html)」を参照してください。
+ リージョン拒否コントロールを更新しました。この更新により、より多くのグローバルサービスによるアクションが可能になります。この SCP の詳細については、[「リクエストされた AWS に基づいて へのアクセスを拒否する AWS リージョン](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)」および[「データレジデンシー保護を強化するコントロール](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html)」を参照してください。
**追加されたグローバルサービス:**
+ AWS アカウント管理 (`account:*`)
+ AWS アクティブ化 (`activate:*`)
+ AWS Artifact (`artifact:*`)
+ AWS Billing Conductor (`billingconductor:*`)
+ AWS Compute Optimizer (`compute-optimizer:*`)
+ AWS Data Pipeline (`datapipeline:GetAccountLimits`)
+ AWS Device Farm(`devicefarm:*`)
+ AWS Marketplace (`discovery-marketplace:*`)
+ Amazon ECR (`ecr-public:*`)
+ AWS License Manager (`license-manager:ListReceivedLicenses`)
+ AWS Lightsail (`lightsail:Get*`)
+ AWS Resource Explorer (`resource-explorer-2:*`)
+ Amazon S3 (`s3:CreateMultiRegionAccessPoint`、`s3:GetBucketPolicyStatus`、`s3:PutMultiRegionAccessPointPolicy`)
+ AWS Savings Plans (`savingsplans:*`)
+ IAM Identity Center (`sso:*`)
+ AWS Support App (`supportapp:*`)
+ サポート プラン (`supportplans:*`)
+ AWS 持続可能性 (`sustainability:*`)
+ AWS Resource Groups Tagging API (`tag:GetResources`)
+ AWS Marketplace Vendor Insights (`vendor-insights:ListEntitledSecurityProfiles`)
## AWS Control Tower プロアクティブコントロールが一般利用可能
**2023 年 4 月 13 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower プロアクティブコントロールが一般利用可能になりました。プロアクティブコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。プロアクティブコントロールの詳細については、「[Proactive controls](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html)」を参照してください。
プロアクティブコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
# 2022 年 1 月~12 月
2022 年、AWS Control Tower は次の更新をリリースしました。
+ [同時アカウント操作](#concurrent-account-operations)
+ [Account Factory Customization (AFC)](#af-customization)
+ [包括的なコントロールは AWS リソースのプロビジョニングと管理に役立ちます](#proactive-controls-notes)
+ [すべての AWS Config ルールでコンプライアンスステータスを表示可能](#config-compliance-status)
+ [コントロールと新しい CloudFormation リソース用の API](#control-control-api)
+ [CfCT がスタックセットの削除をサポート](#stack-set-deletion-cfct)
+ [カスタマイズされたログの保持](#log-retention)
+ [ロールドリフト修復可能](#role-drift-repair)
+ [AWS Control Tower ランディングゾーンバージョン 3.0](#version-3.0)
+ [OU とアカウントのビューが組み合わされた組織ページ](#ou-hierarchy-page)
+ [簡略化されたアカウントの作成と登録](#simple-create-and-enroll)
+ [AFT は、AWS Control Tower の共有アカウントの自動カスタマイズをサポートします](#aft-supports-shared-accounts)
+ [すべてのオプションのコントロールの同時操作](#concurrent-preventive-controls)
+ [既存のセキュリティアカウントとログアカウント](#existing-security-and-logging-accounts)
+ [AWS Control Tower ランディングゾーンバージョン 2.9](#version-2.9)
+ [AWS Control Tower ランディングゾーンバージョン 2.8](#version-2.8)
## 同時アカウント操作
**2022 年 12 月 16 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、Account Factory の同時実行アクションがサポートされるようになりました。一度に最大 5 つのアカウントを作成、更新、または登録できるようになります。最大 5 つのアクションを連続して送信し、各リクエストの完了状況を確認できます。その間、アカウントの作成はバックグラウンドで完了します。たとえば、別のアカウントを更新したり、組織単位 (OU) 全体を再登録したりする前に、各プロセスが完了するのを待つ必要がなくなります。
## Account Factory Customization (AFC)
**2022 年 11 月 28 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
Account Factory Customization を使用すると、AWS Control Tower コンソール内から新しいアカウントと既存のアカウントをカスタマイズできます。これらの新しいカスタマイズ機能により、特殊な Service Catalog 製品に含まれる CloudFormation テンプレートであるアカウントブループリントを柔軟に定義できます。ブループリントにより、完全にカスタマイズされたリソースと構成がプロビジョニングされます。また、特定のユースケースに合わせてアカウントをカスタマイズするのに役立つ、 AWS パートナーによって作成および管理される定義済みのブループリントを使用することもできます。
これまで、AWS Control Tower の Account Factory では、コンソールでのアカウントのカスタマイズをサポートしていませんでした。Account Factory の今回の更新により、アカウント要件を事前に定義して、明確に定義されたワークフローの一部として実装できます。ブループリントを適用して、新しいアカウントを作成し、他の AWS アカウントを AWS Control Tower に登録し、既存の AWS Control Tower アカウントを更新できます。
Account Factory でアカウントをプロビジョニング、登録、または更新するとき、デプロイするブループリントを選択します。ブループリントで指定されているリソースは、アカウントでプロビジョニングされます。アカウントの作成が完了すると、すべてのカスタム構成をすぐに使用できます。
アカウントのカスタマイズを開始するには、Service Catalog 製品で目的のユースケースに合わせてリソースを定義します。入 AWS 門ライブラリからパートナー管理のソリューションを選択することもできます。詳細については、「[Account Factory Customization (AFC) を使用したアカウントのカスタマイズ](af-customization-page.md)」を参照してください。
## 包括的なコントロールは AWS リソースのプロビジョニングと管理に役立ちます
**2022 年 11 月 28 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、 CloudFormation フックを通じて実装された新しいオプションのプロアクティブコントロールを含む包括的なコントロール管理をサポートするようになりました。これらのコントロールは、リソースをデプロイする前にリソースをチェックして、新しいリソースが環境内で有効になっているコントロールに準拠しているかどうかを判断するため、プロアクティブと呼ばれます。
130 を超える新しいプロアクティブコントロールは、AWS Control Tower 環境の特定のポリシー目標を達成し、業界標準のコンプライアンスフレームワークの要件を満たすとともに、他の 20 を超える AWS サービスで AWS Control Tower のやり取りを管理するのに役立ちます。
AWS Control Tower コントロールライブラリは、関連する AWS サービスとリソースに従ってこれらのコントロールを分類します。詳細については、「[Proactive controls](https://docs.aws.amazon.com//controltower/latest/controlreference/proactive-controls.html)」を参照してください。
このリリースでは、AWS Control Tower は AWS 、 Foundational Security Best Practices (FSBP) 標準をサポートする新しい Security Hub CSPM **Service-Managed Standard: AWS Control Tower** AWS Security Hub CSPMによっても統合されています。コンソールで AWS Control Tower コントロールとともに 160 を超える Security Hub CSPM コントロールを表示でき、AWS Control Tower 環境の Security Hub CSPM セキュリティスコアを取得できます。詳細については、「[Security Hub controls](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)」を参照してください。
## すべての AWS Config ルールでコンプライアンスステータスを表示可能
**2022 年 11 月 18 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、AWS Control Tower に登録された組織単位にデプロイされたすべての AWS Config ルールのコンプライアンスステータスを表示するようになりました。AWS Control Tower コンソールの外に移動しなくても、登録済みまたは未登録の AWS Control Tower のアカウントに影響するすべての AWS Config ルールのコンプライアンスステータスを表示できます。お客様は、検出コントロールと呼ばれる Config ルールを AWS Control Tower で設定するか、 AWS Config サービスを通じて直接設定するかを選択できます。によってデプロイされたルール AWS Config と、AWS Control Tower によってデプロイされたルールが表示されます。
以前は、 AWS Config サービスを通じてデプロイされた AWS Config ルールは AWS Control Tower コンソールに表示されていませんでした。お客様は、非準拠 AWS Config ルールを特定するために AWS Config サービスに移動する必要がありました。これで、AWS Control Tower コンソール内で非準拠 AWS Config ルールを特定できます。すべての設定ルールのコンプライアンスステータスを確認するには、AWS Control Tower コンソールの **[Account details]** (アカウントの詳細) のページに移動します。AWS Control Tower によって管理されるコントロールと AWS Control Tower の外部でデプロイされた設定ルールのコンプライアンスステータスを示すリストが表示されます。
## コントロールと新しい CloudFormation リソース用の API
**2022 年 9 月 1 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、一連の API コールによるコントロール (*ガードレール*とも呼ばれる) の、プログラムによる管理をサポートするようになりました。新しい CloudFormation リソースは、コントロールの API 機能をサポートしています。詳細については、「[AWS Control Tower でのタスクの自動化](automating-tasks.md)」および「[を使用して AWS Control Tower リソースを作成する AWS CloudFormation](creating-resources-with-cloudformation.md)」を参照してください。
これらの API により、AWS Control Tower ライブラリでコントロールの有効化、無効化、およびアプリケーションステータスの表示を行うことができます。APIs のサポートが含まれているため CloudFormation、Infrastructure infrastructure-as-code (IaC) として AWS リソースを管理できます。AWS Control Tower は、組織単位 (OU) 全体と OU 内のすべての AWS アカウントに関するポリシーの意図を表すオプションの予防コントロールと検出コントロールを提供します。これらのルールは、新しいアカウントを作成したり、既存のアカウントを変更したりしても、有効に存続します。
**このリリースに含まれる API**
+ **EnableControl** — この API コールはコントロールをアクティブにします。非同期オペレーションを開始して、指定した組織単位とその組織単位内のアカウントの AWS リソースを作成します。
+ **DisableControl** — この API コールは、コントロールをオフにします。非同期オペレーションを開始して、指定した組織単位とその組織単位内のアカウントの AWS リソースを削除します。
+ **GetControlOperation** — 特定の **EnableControl** オペレーションまたは **DisableControl** オペレーションのステータスを返します。
+ **ListEnabledControls** — 指定した組織単位とその組織単位内のアカウントで、AWS Control Tower によって有効化されたコントロールを一覧表示します。
オプションコントロールのコントロール名のリストを表示するには、「*AWS Control Tower Controls Reference Guide*」の「[Resource identifiers for APIs and controls](https://docs.aws.amazon.com//controltower/latest/userguide/control-identifiers.html)」を参照してください。
## CfCT がスタックセットの削除をサポート
**2022 年 8 月 26 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower のカスタマイズ (CfCT) は、`manifest.yaml` ファイルのパラメータを設定することで、スタックセットの削除をサポートするようになりました。詳細については、「[スタックセットの削除](cfct-delete-stack.md)」を参照してください。
**重要**
最初に `enable_stack_set_deletion` の値を `true` に設定すると、次回 CfCT を呼び出したときに、プレフィックス `CustomControlTower-` で始まる**すべて**のリソースのうち、キータグ `Key:AWS_Solutions, Value: CustomControlTowerStackSet` が関連付けられているリソースと、マニフェストファイルに宣言されていないリソースは、削除対象としてステージングされます。
## カスタマイズされたログの保持
**2022 年 8 月 15 日**
(AWS Control Tower ランディングゾーンの更新が必要です。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください。)
AWS Control Tower は、AWS Control Tower CloudTrail ログを保存する Amazon S3 バケットの保持ポリシーをカスタマイズする機能を提供するようになりました。日単位または年単位で最大 15 年まで保存するという Amazon S3 ログ保持ポリシーをカスタマイズできます。
ログの保持をカスタマイズしない場合、デフォルト設定は、標準アカウントのログ記録で 1 年、アクセスログで 10 年です。
この機能は、ランディングゾーンを更新または修復する際は AWS Control Tower を介して既存のお客様が、AWS Control Tower のセットアップを通じて新規のお客様が利用できます。
## ロールドリフト修復可能
**2022 年 8 月 11 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower では、ロールドリフトの修復がサポートされるようになりました。ランディングゾーンを完全に修復しなくても、必要なロールを復元できます。このタイプのドリフト修復が必要な場合、コンソールのエラーページにロールを復元する手順が示され、ランディングゾーンが再び使用可能になります。
## AWS Control Tower ランディングゾーンバージョン 3.0
**2022 年 7 月 29 日**
(AWS Control Tower のランディングゾーンをバージョン 3.0 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください)
AWS Control Tower ランディングゾーンバージョン 3.0 には、次の更新が含まれています。
+ 組織レベルの AWS CloudTrail 証跡を選択するか、AWS Control Tower によって管理される CloudTrail 証跡をオプトアウトするオプション。
+ AWS CloudTrail がアカウント内のアクティビティをログに記録するかどうかを判断する 2 つの新しい検出コントロール。
+ ホームリージョンのみのグローバルリソース AWS Config に関する情報を集約するオプション。
+ リージョン拒否コントロールの更新。
+ 管理ポリシー **AWSControlTowerServiceRolePolicy** の更新。
+ 各登録アカウントで、IAM ロール `aws-controltower-CloudWatchLogsRole` と CloudWatch ロググループ `aws-controltower/CloudTrailLogs` を作成しなくなりました。以前は、アカウント証跡用に各アカウントでこれらを作成していました。組織証跡では、管理アカウントに 1 つだけ作成します。
次のセクションでは、各能力タイプの詳細を示します。
**AWS Control Tower の組織レベルの CloudTrail 証跡**
ランディングゾーンバージョン 3.0 では、AWS Control Tower が組織レベルの AWS CloudTrail 証跡をサポートするようになりました。
AWS Control Tower ランディングゾーンをバージョン 3.0 に更新する場合、ログ記録設定として組織レベルの AWS CloudTrail 証跡を選択するか、AWS Control Tower によって管理される CloudTrail 証跡をオプトアウトするかを選択できます。バージョン 3.0 に更新すると、AWS Control Tower は 24 時間の待機期間後に*登録済みアカウントの既存のアカウントレベルの証跡*を削除します。AWS Control Tower は、未登録アカウントのアカウントレベルの証跡は削除しません。万一ランディングゾーンの更新が正常に行われず、AWS Control Tower が組織レベルの証跡を既に作成した後で障害が発生した場合、更新オペレーションを正常に完了できるようになるまで、組織レベルの証跡とアカウントレベルの証跡に対して請求が二重に発生する可能性があります。
ランディングゾーン 3.0 以降、AWS Control Tower は が AWS 管理するアカウントレベルの証跡をサポートしなくなりました。代わりに、AWS Control Tower は、お客様の選択に応じて、アクティブまたは非アクティブの組織レベルの証跡を作成します。
**注記**
バージョン 3.0 以降に更新後、AWS Control Tower によって管理されるアカウントレベルの CloudTrail 証跡作成を続行するオプションはありません。
ログは保存されている既存の Amazon S3 バケットに残っているため、集約されたアカウントログからログデータが失われることはありません。証跡のみが削除され、既存のログは削除されません。組織レベルの証跡を追加するオプションを選択すると、AWS Control Tower は Amazon S3 バケット内の新しいフォルダへの新しいパスを開き、その場所にログ情報を送信し続けます。AWS Control Tower によって管理される証跡をオプトアウトすることを選択した場合、既存のログは変更されずにバケットに残ります。
**ログストレージのパス命名規則**
+ アカウント証跡ログは、次の形式のパスで保存されます。`/org id/AWSLogs/… `
+ アカウント証跡ログは、次の形式のパスで保存されます。`/org id/AWSLogs/org id/… `
AWS Control Tower が組織レベルの CloudTrail 証跡用に作成するパスは、手動で作成する組織レベルの証跡のデフォルトパス (以下の形式) とは異なります。
+ `/AWSLogs/org id/… `
CloudTrail のパス命名の詳細については、「[CloudTrail ログファイルの検索](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-find-log-files.html )」を参照してください。
**ヒント**
独自のアカウントレベルの証跡を作成して管理する場合は、AWS Control Tower のランディングゾーンバージョン 3.0 への更新を完了する前に新しい証跡を作成して、すぐにログ記録を開始することをお勧めします。
新しいアカウントレベルまたは組織レベルの CloudTrail 証跡を随時作成し、自分で管理することを選択できます。AWS Control Tower によって管理される組織レベルの CloudTrail 証跡を選択するオプションは、バージョン 3.0 以降へのランディングゾーン更新中に利用できます。ランディングゾーンを更新するたびに、組織レベルの証跡を*オプトイン*/*オプトアウト*できます。
ログがサードパーティサービスによって管理されている場合は、必ずそのサービスに新しいパス名を提供してください。
**注記**
バージョン 3.0 以降のランディングゾーンでは、アカウントレベルの AWS CloudTrail 証跡は AWS Control Tower ではサポートされていません。アカウントレベルの証跡は随時作成して維持するか、AWS Control Tower によって管理される組織レベルの証跡情報にオプトインすることができます。
**ホームリージョンのみに AWS Config リソースを記録する**
ランディングゾーンバージョン 3.0 では、AWS Control Tower で AWS Config のベースライン設定が更新され、ホームリージョンのみでグローバルリソースが記録されるようになります。バージョン 3.0 にアップデートした後、グローバルリソースのリソース記録がホームリージョンでのみ有効化されます。
この設定はベストプラクティスであるとみなされています。グローバルリソースの作成 AWS Config、変更、または削除時に作成される設定項目の数を減らすことで、 AWS Security Hub CSPM と が推奨し、コスト削減を実現します。以前は、グローバルリソースがお客様または AWS サービスにより作成、更新、または削除されるたびに、設定項目が管理対象の各リージョンの各項目に対して作成されていました。
** AWS CloudTrail ログのための 2 つの新しい検出コントロール**
組織レベルの AWS CloudTrail 証跡の変更の一環として、AWS Control Tower は CloudTrail が有効になっているかどうかを確認する 2 つの新しい検出コントロールを導入しています。最初のコントロールには**必須**ガイダンスがあり、3.0 以降のセットアップまたはランディングゾーン更新中にセキュリティ OU で有効になります。2 番目のコントロールは**強く推奨される**ガイダンスがあり、必須のコントロール保護が既に実装されているセキュリティ OU 以外の任意の OU にオプションで適用されます。
**必須コントロール:** [セキュリティ組織単位の共有アカウントで AWS CloudTrail または CloudTrail Lake が有効になっているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#ensure-cloudtrail-enabled-mandatory)
**強く推奨されるコントロール:** [アカウントで AWS CloudTrail または CloudTrail Lake が有効になっているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#ensure-cloudtrail-enabled-recommended)
新しいコントロールの詳細については、「[The AWS Control Tower controls library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html)」を参照してください。
**リージョン拒否コントロールの更新**
リージョン拒否コントロールの **NotAction** リストを更新して、以下にリストされているいくつかの追加サービスによるアクションを含めました。
```
"chatbot:*",
"s3:GetAccountPublic",
"s3:DeleteMultiRegionAccessPoint",
"s3:DescribeMultiRegionAccessPointOperation",
"s3:GetMultiRegionAccessPoint",
"s3:GetMultiRegionAccessPointPolicy",
"s3:GetMultiRegionAccessPointPolicyStatus",
"s3:ListMultiRegionAccessPoints",
"s3:GetStorageLensConfiguration",
"s3:GetStorageLensDashboard",
"s3:ListStorageLensConfigurations"
"s3:GetAccountPublicAccessBlock",
"s3:PutAccountPublic",
"s3:PutAccountPublicAccessBlock",
```
### 動画チュートリアル
このビデオ (3:07) では、既存の AWS Control Tower ランディングゾーンをバージョン 3 に更新する方法について説明しています。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。
[](http://www.youtube.com/watch?v=zf-dJ6_joTw)
## OU とアカウントのビューが組み合わされた組織ページ
**2022 年 7 月 18 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
AWS Control Tower の新しい **[組織]** ページには、すべての組織単位 (OU) とアカウントの階層的な (ツリー) ビューが表示されます。ここでは、以前の **[OU]** ページと **[Accounts]** ページに表示されていた情報が表示されます。
新しいページでは、親 OU と、そのネストされた OU およびアカウントとの関係を確認することができ、リソースのグループに対してアクションを実行できます。ページビューを構成できます。例えば、階層ビューを展開することや折りたたむことに加えて、ビューをフィルターしてアカウントまたは OU のみを表示すること、登録済みアカウントと登録済みの OU のみを表示すること、関連リソースのグループを表示することができます。組織全体が適切に更新されていることを簡単に確認できます。
## 簡略化されたアカウントの作成と登録
**2022 年 6 月 30 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower では、アカウントの作成と登録のワークフローが簡略化されました。Service Catalog コンソールに移動せずに、新しいアカウントを作成したり、既存のアカウントを単一のワークフローに登録したりできます。詳細については、「[AWS Control Tower コンソールから既存のアカウントを登録する](quick-account-provisioning.md)」を参照してください。
## AFT は、AWS Control Tower の共有アカウントの自動カスタマイズをサポートします
**2022 年 5 月 27 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
Account Factory for Terraform (AFT) では、AWS Control Tower で管理されているアカウント (管理アカウント、監査アカウント、ログアーカイブアカウントなど) を登録済みアカウントとともに、プログラムでカスタマイズおよび更新できるようになりました。アカウントのカスタマイズと更新の管理を一元化するとともに、アカウント設定のセキュリティを保護できます (この作業を実行するロールの適用範囲はユーザーが決めます)。
既存の **AWSAFTExecution** ロールが、すべてのアカウントにカスタマイズをデプロイするようになりました。IAM の許可をセットアップするには、ビジネス要件とセキュリティ要件に応じて、**AWSAFTExecution** ロールのアクセス権を制限する境界を使用できます。また、そのロールに承認されたカスタマイズの許可を、信頼されたユーザーにプログラムで委任することもできます。ベストプラクティスとして、必要なカスタマイズをデプロイする必要があるユーザーだけに許可を制限することをお勧めします。
AFT は、新しい **AWSAFTService** ロールを作成して、共有アカウントと管理アカウントを含むすべてのマネージドアカウントに AFT リソースをデプロイするようになりました。リソースは、以前は、**AWSAFTExecution** ロールによってデプロイされていました。
AWS Control Tower の共有アカウントと管理アカウントは Account Factory を通じてプロビジョニングされないため、対応するプロビジョニング済み製品はありません AWS Service Catalog。したがって、Service Catalog では共有アカウントと管理アカウントを更新できません。
## すべてのオプションのコントロールの同時操作
**2022 年 5 月 18 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
AWS Control Tower は、予防コントロールと検出コントロールの同時操作をサポートするようになりました。
この新しい機能により、すべてのオプションのコントロールを同時に適用または削除できるため、これらのコントロールの使いやすさとパフォーマンスが向上します。個々のコントロールの操作が完了するまで待たずに、複数のオプションのコントロールを有効にできます。同時操作が制限されるのは、AWS Control Tower がランディングゾーンのセットアップ中であるか、新しい組織にガバナンスを拡張中である場合だけです。
**予防コントロールでサポートされる機能は以下のとおりです。**
+ 同じ OU に対して複数の異なる予防コントロールを適用または削除する。
+ 複数の異なる予防コントロールを複数の異なる OU に対して同時に適用または削除します。
+ 同じ予防コントロールを複数の異なる OU に対して同時に適用または削除します。
+ 任意の数の予防コントロールと検出コントロールを同時に適用または削除できます。
AWS Control Tower のすべてのリリース済みバージョンで、これらのコントロールの同時実行の機能強化を体験できます。
予防コントロールは、ネストされた OU に適用すると、ターゲット OU の下にネストされたすべてのアカウントと OU に影響します。これらのアカウントや OU が AWS Control Tower に登録されていない場合でも影響を受けます。予防コントロールは、 の一部であるサービスコントロールポリシー (SCPs) を使用して実装されます AWS Organizations。検出コントロールは AWS Config ルールを使用して実装されます。ガードレールは、新しいアカウントを作成したり、既存のアカウントを変更したりしても有効に存続します。AWS Control Tower は、各アカウントが有効なポリシーにどのように準拠しているかを示すサマリーレポートを提供します。使用可能なコントロールの完全なリストについては、「[The AWS Control Tower controls library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html)」を参照してください。
## 既存のセキュリティアカウントとログアカウント
**2022 年 5 月 16 日**
(初期セットアップ時に使用可能)
AWS Control Tower では、最初のランディングゾーンのセットアッププロセス中に、既存の AWS アカウントを AWS Control Tower セキュリティアカウントまたはログ記録アカウントとして指定できるようになりました。このオプションを使用すると、AWS Control Tower は新しい共有アカウントを作成する必要がなくなります。セキュリティアカウント (デフォルトでは、**監査**アカウントと呼ばれます) は、セキュリティチームとコンプライアンスチームに対してランディングゾーンのすべてのアカウントへのアクセスを許可する制限付きアカウントです。ログアカウント (デフォルトでは、**ログアーカイブ**アカウントと呼ばれます) は、リポジトリとして機能します。このアカウントには、ランディングゾーンのすべてのアカウントからの API アクティビティとリソース設定のログが保存されます。
既存のセキュリティアカウントとログアカウントを使用することで、AWS Control Tower のガバナンスを既存の組織に拡張したり、別のランディングゾーンから AWS Control Tower に移動したりすることが容易になります。既存のアカウントを使用するオプションは、ランディングゾーンの最初のセットアップ時に表示されます。これには、セットアッププロセス中のチェックも含まれ、デプロイが正常に完了したことが確認されます。AWS Control Tower は、既存のアカウントに必要なロールとコントロールを実装します。これらのアカウントにある既存のリソースやデータは削除またはマージされません。
制限: 既存の AWS アカウントを監査およびログアーカイブアカウントとして AWS Control Tower に持ち込む予定で、それらのアカウントに既存の AWS Config リソースがある場合は、AWS Control Tower にアカウントを登録する前に既存の AWS Config リソースを削除する必要があります。
## AWS Control Tower ランディングゾーンバージョン 2.9
**2020 年 4 月 22 日**
(AWS Control Tower のランディングゾーンをバージョン 2.9 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください)
AWS Control Tower のランディングゾーンバージョン 2.9 は、Python バージョン 3.9 ランタイムを使用するように通知フォワーダー Lambda を更新します。この更新プログラムは、2022 年 7 月に予定されている Python バージョン 3.6 の非推奨化に対処します。最新情報については、[Python の非推奨化に関するページ](https://docs.aws.amazon.com//lambda/latest/dg/runtime-support-policy.html)を参照してください。
## AWS Control Tower ランディングゾーンバージョン 2.8
**2022 年 2 月 10 日**
(AWS Control Tower のランディングゾーンをバージョン 2.8 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください。)
AWS Control Tower ランディングゾーンバージョン 2.8 は、「[AWS の基本的なセキュリティのベストプラクティス](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html)」の最新の更新に合わせて機能が追加されています。
**このリリースでは:**
+ 既存の S3 アクセスログバケットへのアクセスを追跡するために、ログアーカイブアカウントのアクセスログバケットに対してアクセスログが設定されました。
+ ライフサイクルポリシーのサポートが追加されました。既存の S3 アクセスログバケットのアクセスログは、デフォルトの保持期間の 10 年に設定されます。
+ さらに、このリリースでは、AWS Control Tower が更新され、すべてのマネージドアカウント (管理アカウントを除く) で が提供する AWS サービスリンクロール (SLR) が使用されるため AWS Config、 AWS Config ベストプラクティスに合わせて Config ルールを設定および管理できます。アップグレードを行わないお客様は、引き続き既存のロールを使用することになります。
+ このリリースでは、 AWS Config データを暗号化するための AWS Control Tower KMS 設定プロセスを合理化し、CloudTrail の関連するステータスメッセージングを改善しました。
+ このリリースには、リージョン拒否コントロールの更新が含まれており、`us-west-2` で `route53-application-recovery` 機能を使用できるようになりました。
+ 更新: 2022 年 2 月 15 日に、 AWS Lambda 関数のデッドレターキューを削除しました。
**その他の詳細:**
+ ランディングゾーンを廃止しても、AWS Control Tower は、 AWS Config サービスにリンクされたロールを削除しません。
+ Account Factory アカウントのプロビジョニングを解除しても、AWS Control Tower は、 AWS Config サービスにリンクされたロールを削除しません。
ランディングゾーンを 2.8 に更新するには、**[Landing zone settings]** (ランディングゾーンの設定) ページに移動し、2.8 バージョンを選択して、**[Update]** (更新) を選択します。ランディングゾーンを更新したら、「[AWS Control Tower での設定更新管理](configuration-updates.md)」に示すように、AWS Control Tower によって管理されているすべてのアカウントを更新する必要があります。
# 2021 年 1 月~12 月
2021 年、AWS Control Tower は次の更新をリリースしました。
+ [リージョン拒否機能](#region-deny-control)
+ [データ所在地機能](#data-residency-feature)
+ [AWS Control Tower で、Terraform アカウントのプロビジョニングとカスタマイズが導入されました](#aft-available)
+ [新しいライフサイクルイベントが利用可能に](#precheck-organizational-unit-event)
+ [AWS Control Tower でネストされた OU が有効になりました](#nested-ou)
+ [検出コントロールの同時実行性](#detective-control-concurrency)
+ [2 つの新しいリージョンが利用可能に](#paris-and-sao-paulo)
+ [リージョンの選択解除](#region-deselect)
+ [AWS Control Tower が AWS キー管理システムと連携する](#kms-keys)
+ [コントロールの名前が変更され、機能は変更されません](#control-renaming)
+ [AWS Control Tower は SCP を毎日スキャンしてドリフトをチェックするようになりました](#daily-scp-scans)
+ [OU とアカウントのカスタマイズされた名前](#rename-core-ous-and-accounts)
+ [AWS Control Tower ランディングゾーンバージョン 2.7](#version-2.7)
+ [3 つの新しい AWS リージョンが利用可能に](#three-new-regions)
+ [選択したリージョンのみを管理](#region-select)
+ [AWS Control Tower がガバナンスを AWS 組織内の既存の OUs に拡張](#extended-governance)
+ [AWS Control Tower でアカウントの一括更新が可能になりました](#bulk-update)
## リージョン拒否機能
**2021 年 11 月 30 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower はリージョン拒否機能を提供するようになりました。これにより、AWS Control Tower 環境に登録されたアカウントの AWS サービスとオペレーションへのアクセスを制限できます。リージョン拒否機能は、AWS Control Tower の既存のリージョン選択およびリージョン選択解除機能を補完します。これらの機能を組み合わせて、追加のリージョンへの拡大に伴うコストのバランスをとり、コンプライアンスや規制上の懸念に対処するのに役立ちます。
たとえば、ドイツの AWS お客様は、フランクフルトリージョン以外のリージョン AWS のサービスへのアクセスを拒否できます。制限付きリージョンは、AWS Control Tower の設定プロセス中に、または **[Landing zone settings]** (ランディングゾーンの設定) ページで選択することができます。リージョン拒否機能は、AWS Control Tower ランディングゾーンのバージョンを更新するときに使用できます。一部の AWS サービスはリージョン拒否機能から除外されます。詳細については、「[Configure the Region deny control](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html)」を参照してください。
## データ所在地機能
**2021 年 11 月 30 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower では、 AWS サービスにアップロードする顧客データが、指定した AWS リージョンにのみ配置されるように、専用のコントロールが提供されるようになりました。顧客データが保存および処理される AWS リージョンを選択できます。AWS Control Tower が利用可能な AWS リージョンの完全なリストについては、[AWS 「リージョンテーブル](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services/)」を参照してください。
きめ細かく制御するには、**[Disallow Amazon Virtual Private Network (VPN) connections]** (Amazon Virtual Private Network (VPN) 接続を許可しない) や **[Disallow internet access for an Amazon VPC instance]** (Amazon VPC インスタンスのインターネットアクセスを許可しない) などの追加のコントロールを適用できます。AWS Control Tower コンソールでコントロールのコンプライアンスステータスを表示できます。使用可能なコントロールの完全なリストについては、「[The AWS Control Tower controls library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html)」を参照してください。
## AWS Control Tower で、Terraform アカウントのプロビジョニングとカスタマイズが導入されました
**2021 年 11 月 29 日**
(AWS Control Tower ランディングゾーンのオプションの更新)
AWS Control Tower Account Factory for Terraform (AFT) により、AWS Control Tower を通じて、Terraform を使用し、カスタマイズされたアカウントをプロビジョニングおよび更新できるようになりました。**
AFT は、単一の Terraform Infrastructure as Code (IaC) パイプラインを提供し、AWS Control Tower が管理するアカウントをプロビジョニングします。プロビジョニング中のカスタマイズは、アカウントをエンドユーザーに提供する前に、ビジネスポリシーとセキュリティポリシーを満たすのに役立ちます。
AFT 自動アカウント作成パイプラインは、アカウントのプロビジョニングが完了するまで監視し、引き続き、必要なカスタマイズでアカウントを強化する追加の Terraform モジュールをトリガーします。カスタマイズプロセスの追加部分として、独自のカスタム Terraform モジュールをインストールするようにパイプラインを設定できます。また、一般的なカスタマイズ AWS のために が提供する任意の AFT 機能オプションを追加することもできます。
AWS Control Tower Account Factory for Terraform の使用を開始するには、「AWS Control Tower ユーザーガイド」の「[AWS Control Tower Account Factory for Terraform (AFT) のデプロイ](aft-getting-started.md)」に記載されているステップに従い、Terraform インスタンスの AFT をダウンロードします。**AFT は、Terraform Cloud、Terraform Enterprise、および Terraform Open Source のディストリビューションをサポートしています。
## 新しいライフサイクルイベントが利用可能に
**2021 年 11 月 18 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
`PrecheckOrganizationalUnit` イベントは、ネストされた OU のリソースを含め、**[Extend governance]** (ガバナンスを拡張) タスクが成功しないようリソースがブロックしているかどうかを記録します。詳細については、「[`PrecheckOrganizationalUnit`](lifecycle-events.md#precheck-organizational-unit)」を参照してください。
## AWS Control Tower でネストされた OU が有効になりました
**2021 年 11 月 16 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower では、ランディングゾーンの一部として、ネストされた OU を含めることができるようになりました。
AWS Control Tower は、ネストされた組織単位 (OU、Organizational Unit) のサポートを提供して、アカウントを複数の階層レベルに編成し、予防コントロールを階層的に実施できるようにします。深さに関係なく、ネストされた OU を含む OU を登録し、親 OU の下に OU を作成して登録し、登録された OU でコントロールを有効にすることができます。この機能をサポートするために、管理されているアカウントと OU の数がコンソールに表示されます。
ネストされた OUs を使用すると、AWS Control Tower OUs を AWS マルチアカウント戦略に合わせることができ、親 OUs レベルでコントロールを適用することで、複数の OU でコントロールを有効にするために必要な時間を短縮できます。
**主な考慮事項**
1. AWS Control Tower に既存のマルチレベル OU を登録するときは、OU を 1 つずつ登録します。最上位の OU から開始し、ツリーの下の方へと進めます。詳細については、「[フラットな OU 構造からネストされた OU 構造への拡張](nested-ous.md#flat-to-nested)」を参照してください。
1. 登録された OU の直下のアカウントは自動的に登録されます。ツリーの下の方にあるアカウントは、直接の親 OU を登録することで登録できます。
1. 予防コントロール (SCP) は自動的に階層の下の方に継承されます。親に適用された SCP は、すべてのネストされた OU に継承されます。
1. 検出コントロール (AWS Config ルール) は自動的に継承されません。
1. 検出コントロールのコンプライアンスは、各 OU によって報告されます。
1. OU の SCP ドリフトは、その下にあるすべてのアカウントと OU に影響します。
1. セキュリティ OU (コア OU) の下に新しいネストされた OU を作成することはできません。
## 検出コントロールの同時実行性
**2021 年 11 月 5 日**
(AWS Control Tower ランディングゾーンのオプションの更新)
AWS Control Tower 検出コントロールは、検出コントロールの同時オペレーションをサポートするようになり、使いやすさとパフォーマンスが向上しました。個々のコントロールオペレーションが完了するのを待たずに、複数の検出コントロールを有効にできます。
**サポートされている機能:**
+ 同じ OU で異なる検出コントロールを有効にします (例えば、**[Detect Whether MFA for the Root User is Enabled]** (ルートユーザーに対して MFA が有効になっているかどうかを検出する) と **[Detect Whether Public Write Access to Amazon S3 Buckets is Allowed]** (Simple Storage Service (Amazon S3) バケットへのパブリック書き込みアクセスが許可されているかどうかを検出する))。
+ 異なる OU で異なる検出コントロールを同時に有効にします。
+ ガードレールのエラーメッセージングが改善され、サポートされているコントロールの同時実行オペレーションに関する追加のガイダンスが提供されるようになりました。
**このリリースではサポートされない機能:**
+ 同じ検出コントロールを複数の OU で同時に有効にすることはサポートされていません。
+ *予防的*コントロールの同時実行はサポートされていません。
AWS Control Tower のすべてのバージョンで、検出コントロールの同時実行性の改善を体験できます。現在バージョン 2.7 を使用していないお客様は、最新バージョンで利用できるリージョンの選択や選択解除などの機能を利用できるように、ランディングゾーンの更新を実行することをお勧めします。
## 2 つの新しいリージョンが利用可能に
**2021 年 7 月 29 日**
(AWS Control Tower ランディングゾーンは更新が必要です。)
AWS Control Tower が、南米 (サンパウロ)、欧州 (パリ) の 2 つの追加 AWS リージョンで利用可能になりました。この更新により、AWS Control Tower の可用性が 15 の AWS リージョンに拡張されます。
AWS Control Tower を初めて使用する場合も、サポートされている任意のリージョンですぐに起動できます。起動時に、AWS Control Tower でマルチアカウント環境を構築および管理するリージョンを選択できます。
AWS Control Tower 環境が既にあり、サポートされている 1 つ以上のリージョンの AWS Control Tower ガバナンス機能を拡張または削除する場合は、AWS Control Tower ダッシュボードの **[Landing Zone Settings]** (ランディングゾーンの設定) ページに移動し、[Regions] (リージョン) を選択します。ランディングゾーンを更新したら、[AWS Control Tower によって管理されているすべてのアカウントを更新する](https://docs.aws.amazon.com//controltower/latest/userguide/configuration-updates.html#deploying-to-new-region)必要があります。
## リージョンの選択解除
**2021 年 7 月 29 日**
(AWS Control Tower ランディングゾーンのオプションの更新)
AWS Control Tower リージョンの選択解除により、AWS Control Tower リソースの地理的フットプリントを管理する機能が強化されます。AWS Control Tower の管理を望まないリージョンの選択を解除できます。この機能により、追加のリージョンへの拡大に伴うコストのバランスをとりながら、コンプライアンスや規制に関する懸念に対処できます。
リージョンの選択解除は、AWS Control Tower ランディングゾーンのバージョンを更新するときに使用できます。
Account Factory を使用して新しいアカウントを作成するか、既存のメンバーアカウントを登録する場合、または **[Extend Governance]** (ガバナンスを拡張) を選択して既存の組織単位にアカウントを登録する場合、AWS Control Tower は、アカウントの選択したリージョンにガバナンス機能 (一元化されたロギング、モニタリング、コントロールなど) をデプロイします。リージョンの選択を解除し、そのリージョンから AWS Control Tower ガバナンスを削除することを選択すると、そのガバナンス機能は削除されますが、ユーザーがそれらのリージョンに AWS リソースまたはワークロードをデプロイする能力は妨げられません。
## AWS Control Tower が AWS キー管理システムと連携する
**2021 年 7 月 28 日**
(AWS Control Tower のランディングゾーンのオプションの更新)
AWS Control Tower には、 AWS Key Management Service (AWS KMS) キーを使用するオプションがあります。キーは、AWS Control Tower がデプロイするサービス、および関連する Amazon S3 データを保護するために、ユーザーによって提供および管理されます。 AWS KMS 暗号化は AWS CloudTrail AWS Config、AWS Control Tower がデフォルトで使用する SSE-S3 暗号化よりも強化されたレベルの暗号化です。
AWS KMS サポートを AWS Control Tower に統合することは、機密性の高いログファイルにセキュリティレイヤーを追加することを推奨する **AWS Foundational Security Best Practices** と一致しています。保管時の暗号化には AWS KMS マネージドキー (SSE-KMS) を使用する必要があります。 AWS KMS 暗号化のサポートは、新しいランディングゾーンを設定するとき、または既存の AWS Control Tower ランディングゾーンを更新するときに使用できます。
この機能を設定するには、ランディングゾーンの初期設定時に **[KMS Key Configuration]** (KMS キー設定) を選択します。既存の KMS キーを選択するか、KMS AWS コンソールに誘導するボタンを選択して新しいキーを作成できます。また、デフォルトの暗号化から SSE-KMS、または別の SSE-KMS キーに変更できる柔軟性があります。
既存の AWS Control Tower ランディングゾーンでは、更新を実行して AWS KMS キーの使用を開始できます。
## コントロールの名前が変更され、機能は変更されません
**2021 年 7 月 26 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
AWS Control Tower は、コントロールのポリシー意図をよりよく反映するように、特定のコントロールの名前と説明を改訂しています。改訂された名前と説明は、コントロールがアカウントのポリシーを具現化する方法をより直感的に理解するのに役立ちます。例えば、検出コントロール自体が特定のアクションを停止せず、ポリシー違反を検出し、ダッシュボードを介してアラートを提供するだけであるため、検出コントロールの名前の一部を「許可しない」から「検出」に変更しました。
コントロールの機能、ガイダンス、および実装は変更ありません。コントロールの名前と説明のみ改訂されています。
## AWS Control Tower は SCP を毎日スキャンしてドリフトをチェックするようになりました
**2021 年 5 月 11 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
AWS Control Tower は、管理対象の SCP を毎日自動スキャンして、対応するコントロールが正しく適用され、ドリフトが発生していないことを確認するようになりました。スキャンでドリフトが検出されると、通知が届きます。AWS Control Tower は、ドリフトの問題ごとに通知を 1 つだけ送信するため、ランディングゾーンが既にドリフト状態にある場合、新しいドリフトアイテムが見つからない限り、追加の通知が送信されることはありません。
## OU とアカウントのカスタマイズされた名前
**2021 年 4 月 16 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、ランディングゾーンの名前付けをカスタマイズできるようになりました。AWS Control Tower が組織単位 (OU、Organizational Unit) およびコアアカウントに推奨する名前を保持するか、ランディングゾーン初期設定プロセス中にこれらの名前を変更することができます。
AWS Control Tower が OU およびコアアカウントに提供するデフォルトの名前は、 AWS マルチアカウントのベストプラクティスのガイダンスに合致しています。ただし、会社に特定の命名ポリシーがある場合、あるいは同じ推奨名を持つ既存の OU またはアカウントが既に存在する場合は、この新しい OU およびアカウント命名機能によって、これらの制約に柔軟に対応できます。
設定時のこのワークフローの変更とは別に、以前はコア OU と呼ばれていた OU はセキュリティ OU と呼ばれ、以前はカスタム OU と呼ばれていた OU はサンドボックス OU と呼ばれるようになりました。命名に関する全体的な AWS ベストプラクティスのガイダンスとの連携を改善するために、この変更を加えました。
新しいお客様には、これらの新しい OU 名が表示されます。既存のお客様には、これらの OU の元の名前が引き続き表示されます。ドキュメントを新しい名前に更新している間、OU の命名に不一致が生じることがあります。
AWS マネジメントコンソールから AWS Control Tower の使用を開始するには、AWS Control Tower コンソールに移動し、右上の「ラン**ディングゾーンのセットアップ**」を選択します。詳細については、「AWS Control Tower ランディングゾーンの計画」を参照してください。
## AWS Control Tower ランディングゾーンバージョン 2.7
**2021 年 4 月 8 日**
(AWS Control Tower のランディングゾーンをバージョン 2.7 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください。)
AWS Control Tower バージョン 2.7 では、AWS Control Tower のリソースにのみポリシーを実装する 4 つの新しい必須予防的ログアーカイブコントロールが導入されました。AWS Control Tower の外にあるリソースのポリシーを設定するため、4 つの既存のログアーカイブコントロールのガイダンスを必須から選択的に調整しました。このコントロールの変更と拡張により、AWS Control Tower 内のリソースのログアーカイブガバナンスと AWS Control Tower 外のリソースのガバナンスを分離できます。
4 つの変更されたコントロールを新しい必須コントロールと組み合わせて使用して、より広範な AWS ログアーカイブのセットにガバナンスを提供できます。既存の AWS Control Tower 環境では、環境の一貫性を保つため、これらの 4 つの変更されたコントロールが自動的に有効になります。ただし、これらの選択的コントロールは無効にできるようになりました。新しい AWS Control Tower 環境では、すべての選択的コントロールを有効にする必要があります。**既存の環境では、AWS Control Tower によってデプロイされていない Amazon S3 バケットに暗号化を追加する前に、以前は必須のコントロールを無効にする必要があります。**
**新しい必須コントロール:**
+ Disallow Changes to Encryption Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットの暗号化設定の変更を許可しない)
+ Disallow Changes to Logging Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのログ設定の変更を許可しない)
+ Disallow Changes to Bucket Policy for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのバケットポリシーの変更を許可しない)
+ Disallow Changes to Lifecycle Configuration for AWS Control Tower Created Amazon S3 Buckets in Log Archive (AWS Control Tower がログアーカイブに作成した Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更を許可しない)
**必須から選択的に変更されたガイダンス:**
+ Disallow Changes to Encryption Configuration for all Amazon S3 Buckets (すべての Simple Storage Service (Amazon S3) バケットの暗号化設定の変更を許可しない) [Previously: Enable Encryption at Rest for Log Archive (以前: ログアーカイブの保管時に暗号化を有効にする)]
+ Disallow Changes to Logging Configuration for all Amazon S3 Buckets (すべての Simple Storage Service (Amazon S3) バケットのログ設定の変更を許可しない) [Previously: Enable Access Logging for Log Archive (以前: ログアーカイブのアクセスログを有効にする)]
+ Disallow Changes to Bucket Policy for all Amazon S3 Buckets (すべての Amazon S3 バケットのバケットポリシーの変更を不許可にする) [Previously: Disallow Policy Changes to Log Archive (以前: ログアーカイブのポリシー変更を禁止する)]
+ Disallow Changes to Lifecycle Configuration for all Amazon S3 Buckets (すべての Simple Storage Service (Amazon S3) バケットのライフサイクル設定の変更を許可しない) [Previously: Set a Retention Policy for Log Archive (以前: ログアーカイブの保持ポリシーを設定する)]
AWS Control Tower バージョン 2.7 には、2.7 にアップグレードした後に以前のバージョンとの互換性がなくなる可能性がある AWS Control Tower ランディングゾーンのブループリントに対する変更が含まれています。
+ 特に、AWS Control Tower バージョン 2.7 では、AWS Control Tower によってデプロイされた S3 バケットで自動的に `BlockPublicAccess` が有効になります。ワークロードでアカウント全体のアクセスが必要な場合は、このデフォルトをオフにすることができます。`BlockPublicaccess` を有効にした場合の動作については、「[Amazon S3 ストレージへのパブリックアクセスのブロック](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-control-block-public-access.html)」を参照してください。
+ AWS Control Tower バージョン 2.7 には HTTPS の要件が含まれています。AWS Control Tower によってデプロイされた S3 バケットに送信されるすべてのリクエストは、Secure Sockets Layer (SSL) を使用する必要があります。HTTPS リクエストのみ渡すことができます。HTTP (SSL なし) をエンドポイントとして使用してリクエストを送信すると、この変更によってアクセス拒否エラーが発生し、ワークフローが中断する可能性があります。**ランディングゾーンを 2.7 に更新した後で、この変更を元に戻すことはできません。**
HTTP の代わりに TLS を使用するようにリクエストを変更することをお勧めします。**
## 3 つの新しい AWS リージョンが利用可能に
**2021 年 4 月 8 日**
(AWS Control Tower ランディングゾーンは更新が必要です。)
AWS Control Tower は、アジアパシフィック (東京) AWS リージョン、アジアパシフィック (ソウル) リージョン、アジアパシフィック (ムンバイ) リージョンの 3 つの追加リージョンで利用できます。これらのリージョンにガバナンスを拡大するには、ランディングゾーンをバージョン 2.7 に更新する必要があります。
バージョン 2.7 への更新を実行しても、ランディングゾーンがこれらのリージョンに自動的に展開されることはありません。含まれるようにするには、リージョン表でそれらを表示して選択する必要があります。
## 選択したリージョンのみを管理
**2021 年 2 月 19 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower リージョンを選択すると、AWS Control Tower リソースの地理的フットプリントをより適切に管理できます。コンプライアンス、規制、コストなどの理由で AWS リソースまたはワークロードをホストするリージョンの数を拡張するために、管理する追加のリージョンを選択できるようになりました。
リージョン選択は、新しいランディングゾーンを設定するか、AWS Control Tower ランディングゾーンのバージョンを更新するときに利用できます。Account Factory を使用して新しいアカウントを作成するか、既存のメンバーアカウントを登録する場合、または **[Extend Governance]** (ガバナンスを拡張) を使用して既存の組織単位にアカウントを登録する場合、AWS Control Tower は、アカウントの選択したリージョンにガバナンス機能 (一元化されたロギング、モニタリング、コントロール) をデプロイします。リージョンの選択の詳細については、「[AWS Control Tower リージョンの設定](region-how.md#deploying-to-new-region)」を参照してください。
## AWS Control Tower がガバナンスを AWS 組織内の既存の OUs に拡張
**2021 年 1 月 28 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower コンソール内から既存の組織単位 (OU、Organizational Unit) (AWS Control Tower にない OU) にガバナンスを拡張します。この機能を使用すると、最上位の OU と含まれるアカウントを AWS Control Tower ガバナンス下に置くことができます。OU 全体へのガバナンスの拡張については、「[AWS Control Tower への既存の組織単位の登録](importing-existing.md)」を参照してください。
OU を登録すると、AWS Control Tower は一連のチェックを実行して、ガバナンスの拡張と OU 内のアカウントの登録が正常に行われていることを確認します。OU の初期登録に関連する一般的な問題の詳細については、「[登録時または再登録時に発生する障害のよくある原因](common-eg-failures.md)」を参照してください。
また、AWS Control Tower [製品ウェブページ](https://aws.amazon.com/controltower/)にアクセスしたり、YouTube にアクセスして [AWS Organizations向け AWS Control Tower の開始方法](https://www.youtube.com/watch?v=CwRy0t8nfgM)に関する動画を視聴することもできます。
## AWS Control Tower でアカウントの一括更新が可能になりました
**2021 年 1 月 28 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
一括更新機能により、最大 300 個のアカウントを含む登録済みの AWS Organizations 組織単位 (OU、Organizational Unit) のすべてのアカウントを、AWS Control Tower ダッシュボードから、1 回のクリックで更新できるようになりました。これは、AWS Control Tower ランディングゾーンを更新し、現行のランディングゾーンのバージョンに合うように登録済みアカウントも更新する必要がある場合に特に便利です。
また、この機能は、AWS Control Tower ランディングゾーンを更新して新しいリージョンに拡張する場合や、OU を再登録して OU のすべてのアカウントに最新のコントロールが適用されるようにする場合に、アカウントを最新状態に保つのに役立ちます。アカウントの一括更新により、アカウントを 1 つずつ更新したり、外部スクリプトを使用して複数のアカウントに対して更新を実行したりする必要がなくなります。
ランディングゾーンの更新の詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください。
OU の登録または再登録の詳細については、「[AWS Control Tower への既存の組織単位の登録](importing-existing.md)」を参照してください。
# 2020 年 1 月~12 月
2020 年、AWS Control Tower は次の更新をリリースしました。
+ [AWS Control Tower コンソールが外部 Config AWS ルールにリンクされるようになりました](#config-aggregator-12-2020)
+ [AWS Control Tower が追加のリージョンで利用可能になりました](#region-expansion-11-19-20)
+ [ガードレールの更新](#control-update)
+ [AWS Control Tower コンソールに OU とアカウントの詳細が表示されます](#OU-account-detail)
+ [AWS Control Tower を使用して で新しいマルチアカウント AWS 環境をセットアップする AWS Organizations](#multiaccount-environments)
+ [AWS Control Tower ソリューションのカスタマイズ](#Customizations)
+ [AWS Control Tower バージョン 2.3 の一般提供](#Available_in_Sydney)
+ [AWS Control Tower でのシングルステップのアカウントプロビジョニング](#Single-step-provisioning)
+ [AWS Control Tower の廃止ツール](#Decommissioning-tool)
+ [AWS Control Tower のライフサイクルイベント通知](#Lifecycle-event-notifications)
## AWS Control Tower コンソールが外部 Config AWS ルールにリンクされるようになりました
**2020 年 12 月 29 日**
(AWS Control Tower のランディングゾーンをバージョン 2.6 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください。)
AWS Control Tower に、外部 AWS Config ルールの検出を支援する組織レベルのアグリゲータが追加されました。これにより、AWS Control Tower コンソールで可視性が得られ、AWS Control Tower によって作成された Config AWS ルールに加えて、外部で作成された AWS Config ルールの存在を確認できます。アグリゲータを使用すると、AWS Control Tower は外部ルールを検出し、AWS Control Tower AWS がアンマネージドアカウントにアクセスすることなく、Config コンソールへのリンクを提供できます。
この機能により、アカウントに適用される検出コントロールの統合ビューが作成され、コンプライアンスを追跡し、アカウントに追加のコントロールが必要かどうかを判断できるようになりました。詳細については、[「AWS Control Tower がアンマネージド OU とアカウントで AWS Config ルールを集約する方法 OUs](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html#config-role-for-organizations)」を参照してください。
## AWS Control Tower が追加のリージョンで利用可能になりました
**2020 年 11 月 18 日**
(AWS Control Tower のランディングゾーンをバージョン 2.5 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください。)
AWS Control Tower が 5 つの追加 AWS リージョンで利用可能になりました。
+ アジアパシフィック (シンガポール) リージョン
+ 欧州 (フランクフルト) リージョン
+ 欧州 (ロンドン) リージョン
+ 欧州 (ストックホルム) リージョン
+ カナダ (中部) リージョン
これらの 5 AWS リージョンの追加は、AWS Control Tower のバージョン 2.5 で導入された唯一の変更です。
AWS Control Tower は、米国東部 (バージニア北部) リージョン、米国東部 (オハイオ) リージョン、米国西部 (オレゴン) リージョン、欧州 (アイルランド) リージョン、アジアパシフィック (シドニー) リージョンでも利用できます。このリリースにより、AWS Control Tower が 10 AWS リージョンで利用可能になりました。
このランディングゾーンの更新には、リストされているすべてのリージョンが含まれており、元に戻すことはできません。ランディングゾーンをバージョン 2.5 に更新したら、AWS Control Tower に登録されているすべてのアカウントを手動で更新して、サポートされている 10 の AWS リージョンで管理する必要があります。詳細については、「[AWS Control Tower リージョンの設定](region-how.md#deploying-to-new-region)」を参照してください。
## ガードレールの更新
**2020 年 10 月 8 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
必須コントロール `AWS-GR_IAM_ROLE_CHANGE_PROHIBITED` の更新バージョンがリリースされました。
AWS Control Tower に自動的に登録されるアカウントは `AWSControlTowerExecution` ロールを有効にする必要があるため、コントロールのこの変更が必要になります。コントロールの以前のバージョンでは、このロールは作成されません。
詳細については、[「AWS Control Tower AWS によって設定された IAM ロールの変更の禁止」および CloudFormation](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#iam-disallow-changes)「AWS Control Tower コントロールリファレンスガイド」の「」を参照してください。
## AWS Control Tower コンソールに OU とアカウントの詳細が表示されます
**2020 年 7 月 22 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
AWS Control Tower に登録されていない組織およびアカウントを、登録されている組織およびアカウントと共に表示できます。
AWS Control Tower コンソールでは、 AWS アカウントと組織単位 (OUs) の詳細を表示できます。**[Accounts]** (アカウント) ページには、AWS Control Tower での OU や 登録のステータスに関係なく、組織内のすべてのアカウントが一覧表示されるようになりました。すべてのテーブルで検索、並べ替え、フィルタリングを実行できるようになりました。
## AWS Control Tower を使用して で新しいマルチアカウント AWS 環境をセットアップする AWS Organizations
**2020 年 4 月 22 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
AWS Organizations のお客様は、AWS Control Tower を使用して、新しく作成された組織単位 (OUs) とアカウントを管理できるようになりました。
+ 既存の AWS Organizations お客様は、既存の管理アカウントに新しい組織単位 (OUs) 用の新しいランディングゾーンを設定できるようになりました。AWS Control Tower で新しい OU を作成し、AWS Control Tower ガバナンスを使用して OU に新しいアカウントを作成できます。
+ AWS Organizations のお客様は、アカウント登録プロセスまたはスクリプトを使用して、既存のアカウントを登録できます。
AWS Control Tower は、他の サービスを使用するオーケストレーション AWS サービスを提供します。これは、複数のアカウントを持つ組織や、新規または既存のマルチアカウント AWS 環境を設定し、大規模に管理するための最も簡単な方法を探しているチーム向けに設計されています。AWS Control Tower によって管理されている組織では、クラウド管理者は、組織内のアカウントが確立されたポリシーに準拠していることを知っています。ビルダーは、コンプライアンスについて過度に心配することなく、新しい AWS アカウントを迅速にプロビジョニングできるため、メリットがあります。
ランディングゾーンの設定の詳細については、「[AWS Control Tower ランディングゾーンの計画](planning-your-deployment.md)」を参照してください。また、AWS Control Tower [製品ウェブページ](https://aws.amazon.com/controltower/)にアクセスしたり、YouTube にアクセスして [AWS Organizations向け AWS Control Tower の開始方法](https://www.youtube.com/watch?v=-n65I4M8cas)に関する動画を視聴することもできます。
この変更に加えて、AWS Control Tower の**クイックアカウントプロビジョニング**機能の名前が**アカウントの登録**に変更されました。既存の AWS アカウントの登録と新しいアカウントの作成を許可するようになりました。詳細については、「[AWS Control Tower コンソールから既存のアカウントを登録する](quick-account-provisioning.md)」を参照してください。
## AWS Control Tower ソリューションのカスタマイズ
**2020 年 3 月 17 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower には、カスタムテンプレートおよびポリシーを AWS Control Tower ランディングゾーンに簡単に適用できる新しいリファレンス実装が追加されました。
AWS Control Tower のカスタマイズを使用すると、 CloudFormation テンプレートを使用して、組織内の既存アカウントと新規アカウントに新しいリソースをデプロイできます。また、これらのアカウントには、AWS Control Tower によって既に提供されているサービスコントロールポリシー (SCP、Service Control Policies) に加えて、カスタム SCP を適用することもできます。AWS Control Tower パイプラインのカスタマイズは、リソースのデプロイとランディングゾーンの同期が保たれるように、AWS Control Tower のライフサイクルイベントおよび通知 (「[AWS Control Tower でのライフサイクルイベント](lifecycle-events.md)」) と統合されます。
この AWS Control Tower ソリューションアーキテクチャのデプロイドキュメントは、[AWS Solutions ウェブページ](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/)から入手できます。
## AWS Control Tower バージョン 2.3 の一般提供
**2020 年 3 月 5 日**
(AWS Control Tower ランディングゾーンの更新が必要です。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください。)
AWS Control Tower が、米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (オレゴン)、欧州 (アイルランド) AWS の各リージョンに加えて、アジアパシフィック (シドニー) リージョンで利用可能になりました。アジアパシフィック (シドニー) リージョンの追加は、AWS Control Tower のバージョン 2.3 で導入された唯一の変更点です。
これまで AWS Control Tower を使用していなかった場合は、サポートされている任意のリージョンで今すぐ AWS Control Tower を起動できます。既に AWS Control Tower を使用していて、アカウントのアジアパシフィック (シドニー) リージョンにガバナンス機能を拡張する場合は、AWS Control Tower ダッシュボードの **[Settings]** (設定) ページに移動します。そこから、ランディングゾーンを最新リリースに更新します。そして、アカウントを個別に更新します。
**注記**
ランディングゾーンを更新しても、アカウントは自動的に更新されません。アカウントが数個以上ある場合は、必要な更新を行うのに時間がかかることがあります。そのため、ワークロードの実行を必要としないリージョンに AWS Control Tower ランディングゾーンを拡張することは避けてください。
新しいリージョンへのデプロイの結果としての検出コントロールの予想される動作の詳細については、「[Configure your AWS Control Tower Regions](https://docs.aws.amazon.com//controltower/latest/userguide/region-how.html#deploying-to-new-region)」を参照してください。
## AWS Control Tower でのシングルステップのアカウントプロビジョニング
**2020 年 3 月 2 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、AWS Control Tower コンソールを使用したシングルステップのアカウントプロビジョニングをサポートするようになりました。この機能を使用すると、AWS Control Tower コンソール内から新しいアカウントをプロビジョニングできます。
簡略化された形式を使用するには、AWS Control Tower コンソールの **[Account Factory]** に移動し、**[Quick account provisioning]** (クイックアカウントプロビジョニング) を選択します。AWS Control Tower は、プロビジョニングされたアカウントとそのアカウントに作成された Single Sign-On (IAM Identity Center) ユーザーに同じ E メールアドレスを割り当てます。これら 2 つの E メールアドレスを異なるものにする必要がある場合は、Service Catalog を通じてアカウントをプロビジョニングする必要があります。
他のアカウントの更新と同様に、Service Catalog および AWS Control Tower Account Factory を使用して、クイックアカウントプロビジョニングで作成したアカウントを更新します。
**注記**
2020 年 4 月、**クイックアカウントプロビジョニング**機能の名前が**アカウントの登録**に変更されました。2022 年 6 月、AWS Control Tower コンソールでアカウントを作成および更新する機能は、 AWS アカウントを登録する機能とは分離されました。詳細については、「[AWS Control Tower コンソールから既存のアカウントを登録する](quick-account-provisioning.md)」を参照してください。
## AWS Control Tower の廃止ツール
**2020 年 2 月 28 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、AWS Control Tower によって割り当てられたリソースのクリーンアップを支援する自動廃止ツールをサポートするようになりました。AWS Control Tower を企業で使用しなくなった場合、または組織のリソースに大幅な再デプロイが必要な場合は、ランディングゾーンを最初にセットアップしたときに作成されたリソースをクリーンアップすることができます。
ほぼ自動化されたプロセスを使用してランディングゾーンを廃止するには、 AWS サポート に連絡して、必要な追加ステップについてサポートを受けてください。廃止の詳細については、「[AWS Control Tower のランディングゾーンを廃止する](decommission-landing-zone.md)」を参照してください。
## AWS Control Tower のライフサイクルイベント通知
**2020 年 1 月 22 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、ライフサイクルイベント通知が利用可能になりました。[ライフサイクルイベント](lifecycle-events.md)は、AWS Control Tower で作成および管理する組織単位 (OU)、アカウント、コントロールなどのリソースの状態を変更できる AWS Control Tower アクションの完了をマークします。ライフサイクルイベントは、 AWS CloudTrail イベントとして記録され、Amazon EventBridge にイベントとして配信されます。
AWS Control Tower は、サービスを使用して実行できる次のアクションの完了時にライフサイクルイベントを記録します: ランディングゾーンの作成または更新、OU の作成または削除、OU でのコントロールの有効化または無効化、Account Factory を使用した新規アカウントの作成または別の OU へのアカウントの移動。
AWS Control Tower は、複数の AWS サービスを使用して、ベストプラクティスのマルチアカウント AWS 環境を構築および管理します。AWS Control Tower アクションが完了するまで数分かかることがあります。CloudTrail ログでライフサイクルイベントを追跡して、元の AWS Control Tower アクションが正常に完了したかどうかを確認できます。EventBridge ルールを作成して、CloudTrail がライフサイクルイベントを記録したときに通知したり、オートメーションワークフローで次のステップを自動的にトリガーしたりすることができます。
# 2019 年 6 月~12 月
2019 年 6 月 24 日から 12 月 31 日までに、AWS Control Tower は次の更新をリリースしました。
+ [AWS Control Tower バージョン 2.2 の一般提供](#Version-2-2)
+ [AWS Control Tower の新しい選択的コントロール](#Elective-gaurdrails)
+ [AWS Control Tower の新しい検出コントロール](#New-controls)
+ [AWS Control Tower は、管理アカウントとは異なるドメインを持つ共有アカウントの E メールアドレスを受け付けます](#Email-address-shared-accounts)
+ [AWS Control Tower バージョン 2.1 の一般提供](#Version-2-1)
## AWS Control Tower バージョン 2.2 の一般提供
**2019 年 11 月 13 日**
(AWS Control Tower ランディングゾーンの更新が必要です。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください。)
AWS Control Tower バージョン 2.2 では、アカウントのドリフトを防止する 3 つの新しい予防コントロールが用意されています。
+ [AWS Control Tower によって設定された Amazon CloudWatch Logs ロググループへの変更を許可しない](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#log-group-deletion-policy)
+ [AWS Control Tower によって作成された AWS Config 集約認可の削除を禁止する](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+ [ログアーカイブの削除を許可しない](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#disallow-audit-bucket-deletion)
コントロールは、 AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。AWS Control Tower ランディングゾーンを作成するとき、ランディングゾーンとすべての組織単位 (OU、Organizational Unit)、アカウント、リソースは、選択したコントロールによって適用されるガバナンスルールに準拠します。ユーザーおよび組織のメンバーがランディングゾーンを使用する際、コンプライアンスステータスが (偶発的または意図的に) 変更されることがあります。ドリフト検出は、ドリフトを解決するために変更や設定更新が必要になるリソースを識別するのに役立ちます。詳細については、「[AWS Control Tower でドリフトを検出および解決する](drift.md)」を参照してください。
## AWS Control Tower の新しい選択的コントロール
**2019 年 9 月 5 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
AWS Control Tower には、次の 4 つの新しい選択的コントロールが含まれるようになりました。
+ [MFA を使用しない Amazon S3 バケットでの削除アクションを許可しない](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-delete-mfa)
+ [Amazon S3 バケットのレプリケーション設定の変更を許可しない](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-ccr)
+ [ルートユーザーとしてのアクションを許可しない](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-auser-actions)
+ [ルートユーザーのアクセスキーの作成を許可しない](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-access-keys)
コントロールは、 AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。ガードレールを使用すると、ポリシーの意図を表現できます。詳細については、「[About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html)」を参照してください。
## AWS Control Tower の新しい検出コントロール
**2019 年 8 月 25 日**
(AWS Control Tower ランディングゾーンの更新は不要です)
AWS Control Tower には、次の 8 つの新しい検出コントロールが含まれるようになりました。
+ [Amazon S3 バケットのバージョニングが有効になっているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-no-versioning)
+ [AWS コンソールの IAM ユーザーに対して MFA が有効になっているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-console-access-mfa)
+ [IAM ユーザーに対して MFA が有効になっているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-access-mfa)
+ [Amazon EC2 インスタンスに対して Amazon EBS 最適化が有効になっているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-not-ebs-optimized)
+ [Amazon EBS ボリュームが Amazon EC2 インスタンスにアタッチされているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/userguide/strongly-recommended-controls.html#disallow-unattached-ebs)
+ [Amazon RDS データベースインスタンスへのパブリックアクセスが有効になっているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-public-access)
+ [Amazon RDS データベーススナップショットへのパブリックアクセスが有効になっているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-snapshot-public-access)
+ [Amazon RDS データベースインスタンスに対してストレージ暗号化が有効になっているかどうかを検出する](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-storage-unencrypted)
コントロールは、 AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。検出コントロールは、ポリシー違反など、アカウント内のリソースの非準拠を検出し、ダッシュボードを通じてアラートを提供します。詳細については、「[About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html)」を参照してください。
## AWS Control Tower は、管理アカウントとは異なるドメインを持つ共有アカウントの E メールアドレスを受け付けます
**2019 年 8 月 1 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、ドメインが管理アカウントの E メールアドレスと異なる共有アカウント (ログアーカイブと監査メンバー) および子アカウント (Account Factory を使用して提供) の E メールアドレスを送信できるようになりました。この機能は、新しいランディングゾーンを作成する場合、および新しい子アカウントをプロビジョニングする場合にのみ使用できます。
## AWS Control Tower バージョン 2.1 の一般提供
**2019 年 6 月 24 日**
(AWS Control Tower ランディングゾーンの更新が必要です。詳細については、「[Update Your Landing Zone](https://docs.aws.amazon.com/controltower/latest/userguide/update-controltower.html)」を参照してください。)
AWS Control Tower は、本番稼働用に一般提供され、サポートされるようになりました。AWS Control Tower は、複数のアカウントを持つ組織と、新しいマルチアカウント AWS 環境を設定し、大規模に管理するための最も簡単な方法を探しているチームを対象としています。AWS Control Tower を使用すると、組織のアカウントが確立されたポリシーに確実に準拠するようにすることができます。分散チームのエンドユーザーは、新しい AWS アカウントを迅速にプロビジョニングできます。
AWS Control Tower を使用すると、 を使用した[マルチアカウント構造](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html)の設定、 を使用したユーザー ID とフェデレーティッドアクセスの管理 AWS Organizations、Service Catalog によるアカウントプロビジョニングの有効化 AWS IAM アイデンティティセンター、 AWS CloudTrail と を使用した一元的なログアーカイブの作成などのベストプラクティスを採用する[ランディングゾーンを設定できます](getting-started-with-control-tower.md) AWS Config。
継続的なガバナンスのために、セキュリティ、運用、コンプライアンスに関する明確に定義されたルールである事前構成済みのコントロールを有効にできます。ガードレールは、ポリシーに準拠しないリソースのデプロイを防止し、デプロイされたリソースの不適合を継続的に監視するのに役立ちます。AWS Control Tower ダッシュボードは、プロビジョニングされたアカウント、有効なコントロール、アカウントのコンプライアンスステータスなど、 AWS 環境を一元的に可視化します。
AWS Control Tower コンソールで 1 回クリックするだけで、新しいマルチアカウント環境を設定できます。AWS Control Tower を使用するのに追加料金や前払いの義務はありません。ランディングゾーンの設定と選択したコントロールの実装を有効にした AWS サービスに対してのみ料金が発生します。