Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Control Tower Landing Zone 4.0 導入も移行もまとめて解説

Avatar for いたくら いたくら
March 24, 2026
0
130

AWS Control Tower Landing Zone 4.0 導入も移行もまとめて解説

AWS re:Invent 2025 新機能「やってみた」報告会 ~セキュリティ・ガバナンス編~
https://classmethod.jp/seminar/260310-awsreinvent-justtry/

Avatar for いたくら

いたくら

March 24, 2026
Tweet

More Decks by いたくら

See All by いたくら
CDK 初心者が AWS Control Tower の landing zone をコード化してみた
Avatar for いたくら itkr2305
1
1.3k
re:Invent 2025 のセッション (COP365) をベースに AWS Control Tower 関連の新機能を紹介します!
Avatar for いたくら itkr2305
1
280
AWS Control Tower Landing zone 4.0 についてまとめてみた
Avatar for いたくら itkr2305
1
1.6k
最近の AWS Control Tower アップデートについて
Avatar for いたくら itkr2305
3
420
なぜ Control Tower は Config アグリゲータを 2 つ作るのか?
Avatar for いたくら itkr2305
0
360
AWS Organizations のユースケースで学ぶ AWS アカウント管理のベストプラクティス「AWS Organizations でマルチアカウント戦略を始めよう」
Avatar for いたくら itkr2305
0
1.1k
クラウド食堂 #4 ~AWSカテゴリ指定LT会~ AWS Control Tower のリージョン拒否設定を深堀してみた
Avatar for いたくら itkr2305
0
380
第28回クラウド女子会 ~夏のLT大会!&AWS BuilderCards v2をプレイしよう~ セッション聴講だけではもったいない! 現地参加者とたくさん話そう!
Avatar for いたくら itkr2305
0
290
実装先SCPのコントロールを全部有効化してみた! ~2025年 ver.~
Avatar for いたくら itkr2305
0
430

Featured

See All Featured
Prompt Engineering for Job Search
Avatar for Mfonobong Umondia mfonobong
0
210
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.9k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
75
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
Avatar for Mine Cetinkaya-Rundel minecr
1
200
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
Fireside Chat
Avatar for paigeccino paigeccino
42
3.8k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
269
14k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.1k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.8k
How to build a perfect <img>
Avatar for Jono Alderson jonoalderson
1
5.3k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
14k

Transcript

  1. 2025/03/10 AWS re:Invent 2025 新機能「やってみた」報告会 〜セキュリティ‧ガバナンス編〜 AWS Control Tower Landing

    Zone 4.0 導⼊も移⾏もまとめて解説

  2. アジェンダ 2 1. Landing Zone 4.0とは 2. 4.0の構成パターン 3. 新規導⼊する場合

    4. 3.3から4.0に移⾏する場合 5. まとめ

  3. Landing Zone 4.0とは 2025年11⽉リリースのメジャーアップデート

  4. Landing Zone 4.0の主な変更点 4 • サービス統合がすべてオプション化 (Config、CloudTrail、SecurityRoles、Identity Center、Backup) ◦ マニフェストフィールドの全オプション化

    • Controls-Onlyモードの導⼊ • S3バケットの分離(Config⽤とCloudTrail⽤) • Config AggregatorがSLCA(Service-Linked Config Aggregator)に刷新 • ドリフト通知がEventBridgeに移⾏(AWSControlTowerBaseline未有効時) • Security OUの要件が変更(Controls-Only × Config無効では不要に)

  5. 4.0の構成パターン 選択肢の組み合わせで複数パターンが存在

  6. Full Environment vs Controls-Only 6

  7. Config統合の有無で使える機能が変わる 7

  8. 4パターンまとめ 8 構成×Config統合の組み合わせで4パターンに分岐 機能 Full×Config有効 Full×Config無効 CO×Config有効 CO×Config無効 検出的コントロール 利⽤可

    不可 利⽤可 不可 OU登録 可 不可 可 不可 Account Factory 可 不可 可 不可 ランディングゾーンレベルの リージョン拒否 可 SecurityOUのみ 不可 不可 Security OU 作成される 作成される 必要 不要 CloudTrail統合 選択可 選択可 不可 不可 Full:Full Environment、CO:Controls-Only

  9. 新規導⼊する場合 これから始める⼈は最新のLZ 4.0で構築

  10. どのパターンを選ぶ? 10 推奨:Full × Config有効 • フル機能が利⽤可能 • 検出的コントロール、OU登録、 Account

    Factory • ランディングゾーンレベルの リージョン拒否設定 • ガバナンスをしっかり効かせたい場合は こちら Controls-Onlyが向いているケース • すでにOrganizationsで マルチアカウント運⽤中 • 最⼩限のガバナンスから始めたい • コントロールだけ使いたい • 段階的に機能を追加していく想定

  11. 新規導⼊のセットアップフロー 11

  12. 3.3から4.0に移⾏する場合 アップグレード⼿順と注意点

  13. アップグレード⼿順 13

  14. アップグレード前の確認事項 14 事前確認事項(コンソール/API共通) • Log Archiveのログ集約バケットの Requester Pays を無効化(デフォルト無効化) •

    Config統合有効時、 organizations:ListDelegatedAdministrators 権限が必要 • SCPが AWSControlTowerExecution ロールを制限していないこと • Audit/Log Archiveに⼿動Configリソースがないこと • Closed/Suspendedアカウントのprovisioned productを削除 注意事項 • Log Archiveのログ集約バケットのバケットポリシーはアップグレード時に上書きされる • ロールバック不可(失敗時はAWS Support問い合わせ) • テスト環境での事前検証を推奨

  15. アップグレードで変わるリソース: Before(LZ 3.3) 15

  16. アップグレードで変わるリソース: After(LZ 4.0) 16

  17. S3分離‧Config Aggregator刷新の詳細 17

  18. 必須コントロールの変更 18

  19. 補⾜ 19 注意が必要なケース • LZ 3.3でCloudTrail統合を無効にしていた場合、LZ 4.0へのアップグレードで 組織証跡が削除される 既存データについて •

    S3バケット分離後、既存データは旧バケットに残る (移動されない) • 新データのみ新しいConfig用バケットに格納される

  20. まとめ 20 • サービス統合がすべてオプション化 → 柔軟な構成が可能に • 新規導⼊は Full Environment

    × Config有効 が推奨 • 既存環境には Controls-Only という新たな選択肢 • 3.3からの移⾏では S3分離やConfig Aggregator刷新 など 複数のリソース変更あり • ロールバック不可 → テスト環境での事前検証を推奨

  21. ありがとうございました!

  22. None