投稿日: Feb 9, 2023
AWS Control Tower がランディングゾーン 3.1 をローンチしました。ランディングゾーンとは、適切に設計されたマルチアカウントの AWS 環境のことで、ワークロードやアプリケーションをデプロイするための出発点となるものです。AWS Control Tower は、ID、フェデレーションアクセス、ログ記録、モニタリング、アカウント構造に関する AWS ベストプラクティスのブループリントを使用して、新しいランディングゾーンのセットアップを自動化します。ランディングゾーン 3.1 には、Amazon Simple Storage Service (Amazon S3) アクセスログ記録のセキュリティベストプラクティスの更新と、リージョン拒否コントロールの例外の更新が含まれています。
ランディングゾーンバージョン 3.1 では、アクセスログが保存されている S3 バケットでの不要なアクセスログ記録が無効になります。一方で S3 バケットのサーバーアクセスログ記録は引き続き有効です。この更新は、Amazon S3 バケットのサーバーアクセスログ記録に関する AWS Security Hub の推奨事項と一致しています。このバージョンではリージョン拒否にも更新が施されています。この更新により、AWS サポートプランや AWS Artifact などのグローバルサービスに対して追加のアクションが可能になります。一部の AWS のグローバルサービスとサービス機能は、リージョン拒否コントロールの対象外です。リージョン拒否コントロールは、AWS Control Tower が構築および管理するサービスコントロールポリシー (SCP) を介して AWS API へのアクセスを制限します。これにより、不要な AWS リージョンにリソースをプロビジョニングすることを防ぎます。許可されているアクションの一覧については、リージョン拒否コントロールポリシーに関するドキュメントを参照してください。
この新しい機能は、AWS Control Tower を提供しているすべてのAWS リージョンで利用可能です。AWS Control Tower を提供中の AWS リージョンの一覧については、AWS リージョン表を参照してください。