Slide 1
Slide 1 text
2025/03/10
AWS re:Invent 2025 新機能「やってみた」報告会 〜セキュリティ‧ガバナンス編〜
AWS Control Tower Landing Zone 4.0
導⼊も移⾏もまとめて解説
Slide 2
Slide 2 text
アジェンダ 2
1. Landing Zone 4.0とは
2. 4.0の構成パターン
3. 新規導⼊する場合
4. 3.3から4.0に移⾏する場合
5. まとめ
Slide 3
Slide 3 text
Landing Zone 4.0とは
2025年11⽉リリースのメジャーアップデート
Slide 4
Slide 4 text
Landing Zone 4.0の主な変更点 4
● サービス統合がすべてオプション化
(Config、CloudTrail、SecurityRoles、Identity Center、Backup)
○ マニフェストフィールドの全オプション化
● Controls-Onlyモードの導⼊
● S3バケットの分離(Config⽤とCloudTrail⽤)
● Config AggregatorがSLCA(Service-Linked Config Aggregator)に刷新
● ドリフト通知がEventBridgeに移⾏(AWSControlTowerBaseline未有効時)
● Security OUの要件が変更(Controls-Only × Config無効では不要に)
Slide 5
Slide 5 text
4.0の構成パターン
選択肢の組み合わせで複数パターンが存在
Slide 6
Slide 6 text
Full Environment vs Controls-Only 6
Slide 7
Slide 7 text
Config統合の有無で使える機能が変わる 7
Slide 8
Slide 8 text
4パターンまとめ 8
構成×Config統合の組み合わせで4パターンに分岐
機能 Full×Config有効 Full×Config無効 CO×Config有効 CO×Config無効
検出的コントロール 利⽤可 不可 利⽤可 不可
OU登録 可 不可 可 不可
Account Factory 可 不可 可 不可
ランディングゾーンレベルの
リージョン拒否
可 SecurityOUのみ 不可 不可
Security OU 作成される 作成される 必要 不要
CloudTrail統合 選択可 選択可 不可 不可
Full:Full Environment、CO:Controls-Only
Slide 9
Slide 9 text
新規導⼊する場合
これから始める⼈は最新のLZ 4.0で構築
Slide 10
Slide 10 text
どのパターンを選ぶ? 10
推奨:Full × Config有効
● フル機能が利⽤可能
● 検出的コントロール、OU登録、
Account Factory
● ランディングゾーンレベルの
リージョン拒否設定
● ガバナンスをしっかり効かせたい場合は
こちら
Controls-Onlyが向いているケース
● すでにOrganizationsで
マルチアカウント運⽤中
● 最⼩限のガバナンスから始めたい
● コントロールだけ使いたい
● 段階的に機能を追加していく想定
Slide 11
Slide 11 text
新規導⼊のセットアップフロー 11
Slide 12
Slide 12 text
3.3から4.0に移⾏する場合
アップグレード⼿順と注意点
Slide 13
Slide 13 text
アップグレード⼿順 13
Slide 14
Slide 14 text
アップグレード前の確認事項 14
事前確認事項(コンソール/API共通)
● Log Archiveのログ集約バケットの Requester Pays を無効化(デフォルト無効化)
● Config統合有効時、 organizations:ListDelegatedAdministrators 権限が必要
● SCPが AWSControlTowerExecution ロールを制限していないこと
● Audit/Log Archiveに⼿動Configリソースがないこと
● Closed/Suspendedアカウントのprovisioned productを削除
注意事項
● Log Archiveのログ集約バケットのバケットポリシーはアップグレード時に上書きされる
● ロールバック不可(失敗時はAWS Support問い合わせ)
● テスト環境での事前検証を推奨
Slide 15
Slide 15 text
アップグレードで変わるリソース: Before(LZ 3.3) 15
Slide 16
Slide 16 text
アップグレードで変わるリソース: After(LZ 4.0) 16
Slide 17
Slide 17 text
S3分離‧Config Aggregator刷新の詳細 17
Slide 18
Slide 18 text
必須コントロールの変更 18
Slide 19
Slide 19 text
補⾜ 19
注意が必要なケース
● LZ 3.3でCloudTrail統合を無効にしていた場合、LZ 4.0へのアップグレードで
組織証跡が削除される
既存データについて
● S3バケット分離後、既存データは旧バケットに残る (移動されない)
● 新データのみ新しいConfig用バケットに格納される
Slide 20
Slide 20 text
まとめ 20
● サービス統合がすべてオプション化
→ 柔軟な構成が可能に
● 新規導⼊は Full Environment × Config有効 が推奨
● 既存環境には Controls-Only という新たな選択肢
● 3.3からの移⾏では S3分離やConfig Aggregator刷新 など
複数のリソース変更あり
● ロールバック不可
→ テスト環境での事前検証を推奨
Slide 21
Slide 21 text
ありがとうございました!
Slide 22
Slide 22 text
No content