![[登壇レポート] 「AWS re:Invent 2025 新機能「やってみた」報告会 ~セキュリティ・ガバナンス編~」にて「AWS Control Tower Landing Zone 4.0 導入も移行もまとめて解説」という内容で登壇しました](https://devio2024-media.developers.io/image/upload/f_auto,q_auto,w_3840/v1774331247/user-gen-eyecatch/ytchriv8cklypyapuc11.webp)
[登壇レポート] 「AWS re:Invent 2025 新機能「やってみた」報告会 ~セキュリティ・ガバナンス編~」にて「AWS Control Tower Landing Zone 4.0 導入も移行もまとめて解説」という内容で登壇しました
こんにちは、クラウド事業本部 コンサルティング部のいたくらです。
2026/03/10 に開催された「AWS re:Invent 2025 新機能「やってみた」報告会 ~セキュリティ・ガバナンス編~」にて登壇しましたので、資料を共有します。
登壇資料
コメント
2025年11月のre:Invent期間中(正確にはre:Invent前でしたが)にリリースされたAWS Control Tower Landing Zone 4.0について、新規導入と3.3からの移行の両面から解説しました。
LZ 4.0は一言でいうと「選択肢が大幅に増えた」バージョンです。最大の変更点は、従来必須だったConfig統合がオプショナルになったことと、Controls-Onlyモードが新たに追加されたことです。
前半では4つの構成パターン(Full Environment / Controls-Only × Config有効 / 無効)を整理しました。Config統合を有効にするかどうかで使える機能が大きく変わるため、構成選択の起点になります。新規導入ならFull Environment × Config有効がおすすめで、すでにOrganizationsで運用中の環境にはControls-Onlyという新しい選択肢があります。
後半では3.3から4.0への移行に焦点を当て、以下のリソース変更をBefore/Afterで図示しながら解説しました。
- S3バケットの分離(Config用がAuditアカウントに、CloudTrail用がLog Archiveアカウントに)
- Config AggregatorからService-Linked Config Aggregator(SLCA)への刷新
- 必須コントロール(SCP)が14個削除・3個追加で統合SCPに集約
アップグレード前の確認事項として、Requester Paysの無効化やSCPの方式変更(Action列挙 → NotAction許可リスト)についても触れています。アップグレード自体はコンソールからワンクリックで実行できますが、ロールバック不可なのでテスト環境での事前検証をおすすめしています。
さいごに
Landing Zone 4.0の導入や移行について気になっている方の参考になれば幸いです。
視聴者の皆さん、ありがとうございました!
以上、クラウド事業本部 コンサルティング部のいたくら(@itkr2305)でした!
