ガバナンスを既存の組織に拡張する - AWS Control Tower
動画: 既存の AWS Organizationsでランディングゾーンを有効にするIAM Identity Center と既存の組織に関する考慮事項他の AWS サービスへのアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ガバナンスを既存の組織に拡張する

「開始方法、ステップ 2」のAWS「Control Tower ユーザーガイド」で説明されているようにランディングゾーン (LZ) を設定することで、既存の組織に AWS Control Tower ガバナンスを追加できます。 https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two

既存の組織で AWS Control Tower ランディングゾーンをセットアップする場合に予想されることは次のとおりです。

  • AWS Organizations 組織ごとに 1 つのランディングゾーンを設定できます。

  • AWS Control Tower は、既存の AWS Organizations 組織の管理アカウントを管理アカウントとして使用します。新しい管理アカウントは不要です。

  • AWS Control Tower は、登録された OU に監査アカウントとログ記録アカウントの 2 つの新しいアカウントを設定します。

  • 組織のサービスの制限により、これら 2 つの追加のアカウントの作成が許可されている必要があります。

  • ランディングゾーンを起動するか、OU を登録すると、その OU に登録されているすべてのアカウントに AWS Control Tower コントロールが自動的に適用されます。

  • AWS Control Tower によって管理される OU に追加の既存の AWS アカウントを登録して、それらのアカウントにコントロールを適用できます。

  • AWS Control Tower OUsでさらに を追加し、既存の を登録できますOUs。

登録と登録のその他の前提条件を確認するには、AWS「Control Tower の開始方法」を参照してください。

AWS Control Tower ランディングゾーンが設定されていないAWS組織OUsで Control Tower AWS コントロールが に適用されない方法の詳細については、以下を参照してください。

  • AWS Control Tower Account Factory の外部で作成された新しいアカウントは、登録された OU のコントロールによってバインドされません。

  • AWS Control Tower に登録OUsされていない で作成された新しいアカウントは、特にそれらのアカウントを AWS Control Tower に登録しない限り、コントロールによって制限されません。アカウントの登録の詳細については、「既存の を登録する AWS アカウント」を参照してください。

  • 追加の既存の組織、既存のアカウント、および AWS Control Tower の外部で新規OUsまたは作成するアカウントは、OU を個別に登録するか、アカウントを登録しない限り、AWSControl Tower コントロールによって制限されません。

AWS Control Tower を既存の OUsおよびアカウントに適用する方法の詳細については、「」を参照してくださいAWS Control Tower に既存の組織単位を登録する

既存の組織で AWS Control Tower ランディングゾーンを設定するプロセスの概要については、次のセクションの動画を参照してください。

注記

セットアップ中、AWSControl Tower は一般的な問題を避けるために事前チェックを実行します。ただし、現在 AWS ランディングゾーンソリューションを使用している場合は AWS Organizations、組織で AWS Control Tower を有効にして Control Tower が現在のランディングゾーンのデプロイを妨げる可能性があるかどうかを判断する前に、 AWS ソリューションアーキテクトAWSに確認してください。また、ランディングゾーン間でのアカウントの移動については、「アカウントが前提条件を満たしていない場合」を参照してください。

動画: 既存の AWS Organizationsでランディングゾーンを有効にする

このビデオ (7:48) では、既存の AWS Organizations 構造で AWS Control Tower ランディングゾーンを設定および有効にする方法について説明します。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

IAM Identity Center と既存の組織に関する考慮事項

  • AWS IAM Identity Center (IAM Identity Center) が既に設定されている場合、AWSControl Tower ホームリージョンは IAM Identity Center リージョンと同じである必要があります。

  • AWS Control Tower は既存の設定を削除しません。

  • IAM Identity Center が既に有効になっており、IAMIdentity Center Directory を使用している場合、AWSControl Tower はアクセス許可セット、グループなどのリソースを追加し、通常どおり続行します。

  • 別のディレクトリ (外部、AD、マネージド AD) が設定されている場合、AWSControl Tower は既存の設定を変更しません。詳細については、AWS IAM Identity Center (IAM Identity Center) のお客様に関する考慮事項を参照してください。

他の AWS サービスへのアクセス

組織を AWS Control Tower ガバナンスに導入した後も、 コンソールと を使用して AWS Organizations AWS Organizations 、 を通じて利用可能な AWS サービスにアクセスできますAPIs。詳細については、「関連する AWS のサービス」を参照してください。