翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Account Factory でのアカウントのプロビジョニングと管理
この章では、Account Factory を使用して AWS Control Tower ランディングゾーンに新しいメンバーアカウントをプロビジョニングするための概要と手順について説明します。
アカウントの設定とプロビジョニングのためのアクセス許可
AWS Control Tower Account Factory を使用すると、 のクラウド管理者とユーザーがランディングゾーンにアカウント AWS IAM Identity Center をプロビジョニングできます。デフォルトでは、IAM Identity Center ユーザーは AWSAccountFactory グループまたは管理グループに属している必要があります。
注記
組織全体で許可を持つアカウントを使用する場合と同様に、管理アカウントから作業するときは注意が必要です。
AWS Control Tower 管理アカウントには AWSControlTowerExecution ロールとの信頼関係があります。これにより、一部の自動アカウント設定も含めて、管理アカウントからのアカウント設定が可能になります。AWSControlTowerExecution ロールの詳細については、「Roles and accounts」を参照してください。
注記
既存の AWS アカウント を AWS Control Tower に登録するには、そのアカウントで AWSControlTowerExecutionロールが有効になっている必要があります。既存のアカウントを登録する方法の詳細については、「既存の を登録する AWS アカウント」を参照してください。
権限の詳細については、「アカウントに必要なアクセス許可」を参照してください。
Account Factory アカウントの管理に関する考慮事項
Account Factory を使用して作成およびプロビジョニングしたアカウントは、更新、登録解除、および閉鎖できます。転用したいアカウントのユーザーパラメータを更新することで、アカウントを再利用できます。アカウントの組織単位 (OU) を変更することもできます。
注記
Account Factory が供給するアカウントに関連付けられているプロビジョニング済み製品を更新するときに、新しいユーザーの E メールアドレスを指定すると AWS IAM Identity Center、AWS Control Tower は IAM Identity Center に新しいユーザーを作成します。以前に作成したアカウントは削除されません。IAM Identity Center から以前の IAM Identity Center ユーザーの E メールアドレスを削除する方法については、「Disabling a User」(ユーザーを無効にする) を参照してください。
