Control Towerセットアップ（Landing Zone v4.0の場合）

Control Towerを導入したAWS Organizationsをゼロから構築するための検証作業をおこなったので、その作業記録です。

2025/11/17にControl Tower Landing Zone version 4.0がリリース^[1]され、これまでと大きく変更があり、過去のセットアップ手順を紹介している記事だと差分が大きかったので、記録として残します。

これから、Control Towerをゼロスタートでセットアップしようと考えられている方の参考になれば幸いです。

前提条件

• 新規AWSアカウントを発行したのち、以下の設定のみを行った状態であること
  • ルートユーザーに対して多要素認証（MFA）をオンにする
• IAM Identity Centerは外部IdPを利用しない想定であること（事後的に変更することは可能）
• Control Tower landing zone version 4.0 (LZ v4.0)であること

セットアップ手順（例）

1. AWSマネジメントコンソールで「Control Tower」サービスにアクセス

⚠️ AWSマネジメントコンソールの選択されているリージョンが、ホームリージョンにする予定のリージョンと一致しているようにします（マネジメントコンソールで選択されているリージョンがホームリージョンの値となります）

「AWS Control Tower の有効化」をクリックする

2. セットアップ設定を選択

• その他の管理対象リージョン：ホームリージョン以外に管理対象リージョンとしたいリージョンがある場合は選択する
• リージョン拒否コントロール：管理対象リージョン以外が使用されないように強制したい場合は「有効」にする
• 自動アカウント登録^[3]： Control Towerに登録されているOUにAWSメンバーアカウントが追加されたときに自動でアカウントのControl Tower管理への登録をするかどうか

3. 組織単位（OU）を作成

「組織を作成」をクリックすると組織（Organizations）とOUが作成される。

4. サービス統合を設定

• サービス統合のデフォルトOU：Securityがデフォルトで選択されている

• 検出管理の AWS Config：「AWS Configの有効化」を選択

• アグリゲーターアカウント：「新規作成」を選択してアカウント用のメールアドレス、アカウント名を入力する（一般的にはAudit（監査）アカウントと呼ばれるもの）

  

• KMSキーの暗号化： 必要に応じて設定

• ログのAmazon S3バケット設定：事前に決めたS3の保持期間の値を入力

  • ログ用の〜： Configの変更履歴を保存する期間
  • アクセスログ用の〜： ログ用のS3バケットへアクセスした記録を保存する期間

• AWS Cloudtrail集中管理型ロギング：「AWS Cloudtrailを有効化する」を選択

• CloudTrail管理者：「新規作成」を選択してアカウント用のメールアドレス、アカウント名を入力する（一般には、LogArchive（ログアーカイブ）アカウントと呼ばれるもの）

• KMSキーの暗号化： 必要に応じて設定

• ログのAmazon S3バケット設定：事前に決めたS3の保持期間の値を入力

  • ログ用の〜： CloudTrailの履歴を保存する期間
  • アクセスログ用の〜： ログ用のS3バケットへアクセスした記録を保存する期間

• AWS IAMアイデンティティセンターのアカウントアクセス： 「AWS Control TowerはAWS IAM Identity Centerを使用してAWSアカウントアクセスを設定します。」を選択

• AWS Backup： 「AWS Backupを有効にしない」がデフォルト値（必要に応じて変更）

5. AWS Control Towerを確認して有効にする

設定内容を確認して、「AWS Control Towerを有効化」をクリックする。

セットアップ完了まで待つ（30分〜1時間ぐらいを見込むとよいよう）

「ステータスを表示」をクリックすると進捗詳細を見ることができる。

セットアップが進むと、AWSのアカウントが作成されたことを通知するメールや、IAM Identity Centerにユーザーができたことを通知するメール、Configの変更などの通知を受け取るSNSサブスクリプションの承認をするためのメールが届きます。

SNSサブスクリプションは、管理リージョン分だけ届くようなので、購読承認漏れがないように注意が必要です。（迷惑メールボックスに入ってしまったものもありました…）

はまったこと

初めての検証実施は、2025/11/21でしたが、なぜかAWSマネジメントコンソールがLZ v4.0対応のUIに変わっておらず、最後の最後でエラーになって、「なんじゃこりゃー」と焦りました。

AWSサポートに問い合わせたところ、

AWSマネジメントコンソールのUIはLZ v3.3までのもののだけど、API履歴的にはLZ v4.0でのセットアップになっていたからパラメーター違いでエラーになった

という回答を得ました。

また、どうしてAWSマネジメントコンソールのUIとしては古いものになったかの特定はできかねるということで、新バージョンの公開からしばらく期間を置いて作業をしたり検証環境であらかじめ動作を確認してから本番用で実施したりすることで回避するしかないようです。

LZ v4.0のリリースは、2025/11/17でしたから、ちょっとクリティカルなタイミングだったのかもしれません。

教訓

• AWS公式ドキュメントは、「英語」の設定で最新をみる
  • リリースノートで直近のリリース情報を確認しておく

2025/12/10現在でも、日本語版のリリースノートは、9月で止まっていますし、公式ドキュメント全体としても圧倒的に情報量が違います。
「英語」の設定でブラウザの自動翻訳を使うのがベターそうです（英語でそのまま斜め読みできたら……）。

脚注

1. https://docs.aws.amazon.com/controltower/latest/userguide/2025-all.html#lz-40 ↩︎ ↩︎

2. AWS Control Tower 公式ユーザーガイド ↩︎

3. https://docs.aws.amazon.com/controltower/latest/userguide/2025-all.html#auto-enroll ↩︎

4. https://docs.aws.amazon.com/controltower/latest/userguide/step-one.html ↩︎