AWS Control Tower Landing zone 4.0 についてまとめてみた 2025/11/22 第29回クラウド⼥⼦会 〜ちょっと⻑いLTしましょ〜 

⽬次 2 ● AWS Control Tower とは ● Landing zone 4.0 の主要変更点 ○ サービス統合のオプション化 ○ 専⽤リソースへの分離 ○ 柔軟な OU 構成 ○ Controls-Only experience ● AWS Config の改善 ● まとめ 

AWS Control Tower とは 

AWS Control Tower とは 4 ● AWS 上でマルチアカウント環境を安全かつ効率的に構築‧管理するためのサービス ● 主な機能 ○ Landing zone の⾃動セットアップ ■ セキュアなマルチアカウント環境を短時間で構築 ○ ガバナンスの⼀元管理 ■ 予防的‧検出的なガードレール（コントロール）を適⽤ ○ 継続的なコンプライアンス監視 ■ アカウント全体のポリシー準拠状態を可視化 ※AWS Black Belt Online Seminar AWS Control Tower 基礎編 より引用 

これまでの課題 5 Control Tower を利⽤するには「フルセット」での導⼊が必要だった ● Security OU が 必須 ● Log Archive / Audit アカウントが 必須 ● Config、CloudTrail が 強制的に有効化 ● 組織構造が 決まっている ○ 基礎となる OU と追加の OU を作成する必要があった ⇒ 「Control Tower のコントロール機能だけ使いたい」、「既存 Organizations 環境に 後から導⼊したい」が難しかった 

Landing zone 4.0 が登場！ 6 ● リリース⽇ ○ 2025 年 11 ⽉ 17 ⽇ ● リリースノート ○ AWS Control Tower Landing zone version 4.0 なんと、、、 必要な機能だけ選んで構築できる、柔軟なランディングゾーンになりました！ 

Landing zone 4.0 の主要変更点 

その前に…セットアップ画⾯もかなり変化しました 8 

その前に…セットアップ画⾯もかなり変化しました 9 

主要変更点 1/4 10 サービス統合のオプション化 以下の AWS サービス統合を 個別に有効/無効 を選択可能になりました ● AWS Config ● AWS CloudTrail ● AWS Backup（以前から選択可能でした） 注意 Config を無効にする場合は、IAM Identity Center、Backup も無効化が必要です 

主要変更点 1/4 11 IAM Identity Center や AWS Backup と同様に Config、CloudTrail も 有効/無効 を選択可能に！ Config を無効に選択した場合、 IAM Identity Center、Backup も強制的に無効となる 

主要変更点 2/4 12 専⽤リソースへの分離 Before（LZ 3.x） Config と CloudTrail が同じ S3 バケットと同じ SNS トピックを共有していた After（LZ 4.0） 各サービスがそれぞれ専⽤ S3 バケットと専⽤ SNS トピックを使⽤するように 

主要変更点 2/4 13 Before（LZ 3.x） LogArchive アカウントに存在する同⼀ S3 バケット内でディレクトリを分けて保存され ていた 

主要変更点 2/4 14 After（LZ 4.0） ● 専⽤ S3 バケットになった ● CloudTrail は LogArchive アカウント、Config は Audit アカウントの S3 に保存され る 

主要変更点 2/4 15 Before（LZ 3.x） 同じ SNS トピックを共有していた 

主要変更点 2/4 16 After（LZ 4.0） 専⽤ SNS トピックになった 

主要変更点 3/4 17 柔軟な OU 構成 Before（LZ 3.x） ● Security OU の作成‧配置が 強制 ● ハブアカウント（LogArchive / Audit）は Security OU 配置が必須 After（LZ 4.0） ● Security OU は作成されるが、Control Tower が管理しない ● ハブアカウントを 任意の OU に配置可能 ○ 唯⼀の要件として、ハブアカウントは 同⼀ OU に配置する必要あり 

主要変更点 3/4 18 ● Security → Test-Security に名前変更可能 ＝ Control Tower が管理していない ● Test-Security に Audit/LogArchive アカウントを配置可能 ＝ハブアカウントを任意の OU に配置可能 

主要変更点 4/4 19 Controls-Only experience フルのランディングゾーンを構築せずに、コントロールだけを使えるように ⇒ 既に Organizations を運⽤中で、   コントロール機能だけ使いたい顧客が導⼊しやすくなりました 

主要変更点 4/4 20 Controls-Only で何が不要になるか？ 既存 Organizations 環境に Control Tower のガバナンス（コントロール）機能だけを 後付けで導⼊可能になった！ 項目 従来の Control Tower Controls-Only 構成 AWS Config 必須で自動設定 不要 AWS CloudTrail 必須で自動設定 不要 Security OU 必須 不要 LogArchive / Audit アカウント 必須 不要 

主要変更点 4/4 21 ● Controls-Only でセットアップ後のランディングゾーン設定 ● 関連サービスを何も有効にしていない状態であることが確認できる ● Audit/LogArchive アカウントが存在していない ● 既存 OU があったとしても、 Control Tower に登録されていない状態 （Root と管理アカウントのみが登録された状態） 

主要変更点 4/4 22 関連サービスを何も有効にしていない状態でも、 コントロールを使うことができる！ 

AWS Config の改善 23 サービスリンク Config アグリゲーター（SLCA）を導⼊ Before（LZ 3.x） ● 管理アカウントと Audit アカウントそれぞれに組織/アカウントアグリゲーター ⇒ 2 つのアグリゲーターが存在していた ● SCP で保護が必要だった（3つの SCP コントロールを使⽤していた） After（LZ 4.0） ● Audit アカウントにサービスリンクアグリゲーター ⇒ 1 つに集約 ● 組織内全アカウントを⾃動集約（Control Tower 管理外も含む） ● AWS Config が⾃動保護（SCP 不要） 

AWS Config の改善 24 従来とサービスリンク Config アグリゲーター（SLCA）の違い 補⾜ サービスリンクリソース： AWS 側が管理する特別なリソースで、ユーザーによる削除‧変更がシステムレベルで制限されるため、SCP で保護しなくても AWS が⾃動的に保 護してくれる 項目 従来（LZ 3.x） SLCA（LZ 4.0） リソースタイプ 通常の Config リソース サービスリンクリソース 作成・管理 AWS Control Tower AWS Config 保護方法 3 つの SCP で明示的に保護 AWS 側が自動保護 アグリゲーター数 2 つ 1 つ 集約範囲 管理アカウント：組織全体 Audit アカウント：CT 管理下のみ 組織全体 

まとめ 25 ● Landing zone 4.0 のポイント ○ 必要な機能だけ選択できる柔軟性 ○ サービス統合（Config、CloudTrail、Backup）のオプション化 ○ 専⽤リソースによる分離管理 ○ 柔軟な OU 構成（ハブアカウントを任意のOUに配置可能） ○ Controls-Only で既存環境への導⼊が容易に ● このアップデートを受けて… ○ 既存 Organizations 環境への段階的導⼊が現実的に ○ 「フルセット導⼊」から「必要な機能だけ選択」へ ○ Control Tower 導⼊の障壁が⼤幅に低くなった印象 

おまけ 26 実は他にも、279 個の新しいマネージド Config rules（コントロール）が追加された りしています。 ⇒ AWS Control Tower now supports seven new compliance frameworks and 279 additional AWS Config rules 同⽇発表されていた以下のアップデートは、本スライドの Controls-Only experience で説明した内容になります。 ⇒ AWS Control Tower introduces a controls-dedicated experience 

ありがとうございました！ 

No content