翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Control Tower と VPC の概要
AWS Control Tower VPC に関する重要な事実を以下に示します。
+ Account Factory でアカウントをプロビジョニングするときに AWS Control Tower によって作成された VPC は、AWSデフォルトの VPC と同じではありません。
+ AWS Control Tower がサポートされているAWSリージョンに新しいアカウントを設定すると、AWS Control Tower は自動的にデフォルトのAWS VPC を削除し、AWS Control Tower によって設定された新しい VPC を設定します。
+ 各 AWS Control Tower アカウントには、AWS Control Tower で作成された 1 つの VPC が許可されます。アカウントは、アカウント制限内に追加のAWS VPCs を持つことができます。
+ すべての AWS Control Tower VPC には、米国西部 (北カリフォルニア) リージョン、`us-west-1`、`us-west-1` の 2 つのアベイラビリティーゾーンを除くすべてのリージョンに 3 つのアベイラビリティーゾーンがあります。デフォルトでは、各アベイラビリティーゾーンに 1 つのパブリックサブネットと 2 つのプライベートサブネットが割り当てられます。したがって、米国西部 (北カリフォルニア) 以外のリージョンの場合、各 AWS Control Tower VPC には、デフォルトで 9 つのサブネットが含まれ、3 つのアベイラビリティーゾーンに分かれています。米国西部 (北カリフォルニア) では、6 つのサブネットが 2 つのアベイラビリティーゾーンで分割されます。
+ AWS Control Tower VPC 内のサブネットのそれぞれに、同サイズの一意の IP アドレス範囲が割り当てられます。
+ VPC 内のサブネットの数は設定可能です。VPC のサブネット設定の変更方法の詳細については、「[Account Factory トピック](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)」を参照してください。
+ IP アドレスが重複しないため、AWS Control Tower VPC 内の 6 または 9 つのサブネットは無制限に相互通信できます。
VPC を使用する場合、AWS Control Tower はリージョンレベルで区切りません。すべてのサブネットは、指定した正確な CIDR 範囲から割り当てられます。VPC のサブネットは、どのリージョンにも存在できます。
**Notes** (メモ)
**VPC コストを管理する**
新しいアカウントをプロビジョニングするときにパブリックサブネットが有効になるように Account Factory の VPC 設定を定義すると、Account Factory によって VPC が設定されて、NAT ゲートウェイが作成されます。料金は Amazon VPC による使用量に対して請求されます。
**VPC とコントロールの設定**
VPC インターネットアクセス設定を有効にして Account Factory アカウントをプロビジョニングすると、その Account Factory 設定によってコントロール「[顧客が管理する Amazon VPC インスタンスのインターネットアクセスを許可しない](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access)」が上書きされます。新しくプロビジョニングされたアカウントのインターネットアクセスを有効にしないようにするには、Account Factory で設定を変更する必要があります。詳細については、「[Walkthrough: Configure AWS Control Tower Without a VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)」を参照してください。
# VPC と AWS Control Tower の CIDR とピア接続
このセクションは、主にネットワーク管理者を対象としています。通常、会社のネットワーク管理者は、AWS Control Tower 組織の全体的な CIDR 範囲を選択する担当者です。ネットワーク管理者は、特定の目的のために、その範囲内からサブネットを割り当てます。
VPC の CIDR 範囲を選択すると、AWS Control Tower は RFC 1918 仕様に従って IP アドレス範囲を検証します。Account Factory は、以下の範囲で最大 `/16` の CIDR ブロックを許可します。
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10` (インターネットプロバイダーがこの範囲の使用を許可している場合のみ)
`/16` 区切り記号を使用すると、最大 65,536 個の IP アドレスを指定できます。
以下の範囲から有効な IP アドレスを割り当てることができます。
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255` (`192.168` 範囲外の IP はありません)
指定した範囲がこれらの範囲外である場合、AWS Control Tower はエラーメッセージを表示します。
デフォルトの CIDR 範囲は `172.31.0.0/16` です。
AWS Control Tower は、選択された CIDR 範囲を使用して VPC を作成する際に、組織単位 (OU) 内に作成した各アカウントのすべての VPC に対して、同じ CIDR 範囲を割り当てます。**IP アドレスのデフォルトオーバーラップのため、この実装では、OU 内のいずれかの AWS Control Tower VPC 間のピア接続が最初は許可されません。
**サブネット**
各 VPC 内で、AWS Control Tower は指定された CIDR 範囲を 9 つのサブネット間に均等に分割します (6 つのサブネットがある米国西部 (北カリフォルニア)。VPC 内のサブネットは重複しません。したがって、それらはすべて VPC 内において相互間で通信できます。
つまり、デフォルトでは VPC 内のサブネット通信は制限されません。VPC サブネット間の通信を制御するためのベストプラクティスは、必要に応じて、許可するトラフィックフローを定義するルールを使用してアクセスコントロールリストを設定することです。特定のインスタンス間のトラフィックを制御するには、セキュリティグループを使用します。AWS Control Tower でセキュリティグループとファイアウォールを設定する方法の詳細については、[「チュートリアル:AWS Firewall Manager を使用して AWS Control Tower でセキュリティグループを設定する](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html)」を参照してください。
**ピア接続**
AWS Control Tower は、複数の VPC 間で通信するための VPC と VPC 間のピア接続を制限しません。ただし、デフォルトでは、すべての AWS Control Tower VPC のデフォルトの CIDR 範囲は同じです。ピア接続をサポートするために、IP アドレスが重複しないように Account Factory の設定で CIDR 範囲を変更できます。
Account Factory の設定で CIDR 範囲を変更すると、以降に AWS Control Tower で (Account Factory を使用して) 作成されるすべての新しいアカウントに新しい CIDR 範囲が割り当てられます。古いアカウントは更新されません。例えば、アカウントを作成し、CIDR 範囲を変更して新しいアカウントを作成すると、これら 2 つのアカウントに割り当てられた VPC 間はピア接続できます。IP アドレス範囲が同じではないため、ピア接続が可能です。