Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Control Tower Landing Zone 4.0 導入も移行もまとめて解説

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for いたくら いたくら
March 24, 2026
370
0

AWS Control Tower Landing Zone 4.0 導入も移行もまとめて解説

AWS re:Invent 2025 新機能「やってみた」報告会 ~セキュリティ・ガバナンス編~
https://classmethod.jp/seminar/260310-awsreinvent-justtry/

Avatar for いたくら

いたくら

March 24, 2026

More Decks by いたくら

See All by いたくら
CDK 初心者が AWS Control Tower の landing zone をコード化してみた
Avatar for いたくら itkr2305
1
1.4k
re:Invent 2025 のセッション (COP365) をベースに AWS Control Tower 関連の新機能を紹介します!
Avatar for いたくら itkr2305
1
350
AWS Control Tower Landing zone 4.0 についてまとめてみた
Avatar for いたくら itkr2305
1
1.7k
最近の AWS Control Tower アップデートについて
Avatar for いたくら itkr2305
3
470
なぜ Control Tower は Config アグリゲータを 2 つ作るのか?
Avatar for いたくら itkr2305
0
410
AWS Organizations のユースケースで学ぶ AWS アカウント管理のベストプラクティス「AWS Organizations でマルチアカウント戦略を始めよう」
Avatar for いたくら itkr2305
0
1.2k
クラウド食堂 #4 ~AWSカテゴリ指定LT会~ AWS Control Tower のリージョン拒否設定を深堀してみた
Avatar for いたくら itkr2305
0
410
第28回クラウド女子会 ~夏のLT大会!&AWS BuilderCards v2をプレイしよう~ セッション聴講だけではもったいない! 現地参加者とたくさん話そう!
Avatar for いたくら itkr2305
0
310
実装先SCPのコントロールを全部有効化してみた! ~2025年 ver.~
Avatar for いたくら itkr2305
0
460

Featured

See All Featured
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.7k
How to build a perfect <img>
Avatar for Jono Alderson jonoalderson
1
5.3k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.3k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
118
110k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.8k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
120
Side Projects
Avatar for Sacha Greif sachag
455
43k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
410
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
Agile Leadership in an Agile Organization
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
120
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.7k

Transcript

  1. 2025/03/10 AWS re:Invent 2025 新機能「やってみた」報告会 〜セキュリティ‧ガバナンス編〜 AWS Control Tower Landing

    Zone 4.0 導⼊も移⾏もまとめて解説

  2. アジェンダ 2 1. Landing Zone 4.0とは 2. 4.0の構成パターン 3. 新規導⼊する場合

    4. 3.3から4.0に移⾏する場合 5. まとめ

  3. Landing Zone 4.0とは 2025年11⽉リリースのメジャーアップデート

  4. Landing Zone 4.0の主な変更点 4 • サービス統合がすべてオプション化 (Config、CloudTrail、SecurityRoles、Identity Center、Backup) ◦ マニフェストフィールドの全オプション化

    • Controls-Onlyモードの導⼊ • S3バケットの分離(Config⽤とCloudTrail⽤) • Config AggregatorがSLCA(Service-Linked Config Aggregator)に刷新 • ドリフト通知がEventBridgeに移⾏(AWSControlTowerBaseline未有効時) • Security OUの要件が変更(Controls-Only × Config無効では不要に)

  5. 4.0の構成パターン 選択肢の組み合わせで複数パターンが存在

  6. Full Environment vs Controls-Only 6

  7. Config統合の有無で使える機能が変わる 7

  8. 4パターンまとめ 8 構成×Config統合の組み合わせで4パターンに分岐 機能 Full×Config有効 Full×Config無効 CO×Config有効 CO×Config無効 検出的コントロール 利⽤可

    不可 利⽤可 不可 OU登録 可 不可 可 不可 Account Factory 可 不可 可 不可 ランディングゾーンレベルの リージョン拒否 可 SecurityOUのみ 不可 不可 Security OU 作成される 作成される 必要 不要 CloudTrail統合 選択可 選択可 不可 不可 Full:Full Environment、CO:Controls-Only

  9. 新規導⼊する場合 これから始める⼈は最新のLZ 4.0で構築

  10. どのパターンを選ぶ? 10 推奨:Full × Config有効 • フル機能が利⽤可能 • 検出的コントロール、OU登録、 Account

    Factory • ランディングゾーンレベルの リージョン拒否設定 • ガバナンスをしっかり効かせたい場合は こちら Controls-Onlyが向いているケース • すでにOrganizationsで マルチアカウント運⽤中 • 最⼩限のガバナンスから始めたい • コントロールだけ使いたい • 段階的に機能を追加していく想定

  11. 新規導⼊のセットアップフロー 11

  12. 3.3から4.0に移⾏する場合 アップグレード⼿順と注意点

  13. アップグレード⼿順 13

  14. アップグレード前の確認事項 14 事前確認事項(コンソール/API共通) • Log Archiveのログ集約バケットの Requester Pays を無効化(デフォルト無効化) •

    Config統合有効時、 organizations:ListDelegatedAdministrators 権限が必要 • SCPが AWSControlTowerExecution ロールを制限していないこと • Audit/Log Archiveに⼿動Configリソースがないこと • Closed/Suspendedアカウントのprovisioned productを削除 注意事項 • Log Archiveのログ集約バケットのバケットポリシーはアップグレード時に上書きされる • ロールバック不可(失敗時はAWS Support問い合わせ) • テスト環境での事前検証を推奨

  15. アップグレードで変わるリソース: Before(LZ 3.3) 15

  16. アップグレードで変わるリソース: After(LZ 4.0) 16

  17. S3分離‧Config Aggregator刷新の詳細 17

  18. 必須コントロールの変更 18

  19. 補⾜ 19 注意が必要なケース • LZ 3.3でCloudTrail統合を無効にしていた場合、LZ 4.0へのアップグレードで 組織証跡が削除される 既存データについて •

    S3バケット分離後、既存データは旧バケットに残る (移動されない) • 新データのみ新しいConfig用バケットに格納される

  20. まとめ 20 • サービス統合がすべてオプション化 → 柔軟な構成が可能に • 新規導⼊は Full Environment

    × Config有効 が推奨 • 既存環境には Controls-Only という新たな選択肢 • 3.3からの移⾏では S3分離やConfig Aggregator刷新 など 複数のリソース変更あり • ロールバック不可 → テスト環境での事前検証を推奨

  21. ありがとうございました!

  22. None