翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
既存のものを登録する AWS アカウント
AWS Control Tower のガバナンスは、すでに AWS Control Tower によって管理されている組織単位 (OU) AWS アカウント に登録すると既存の個人にまで拡張できます。対象となるアカウントは、AWS Control Tower OU AWS Organizations と同じ組織に属する未登録の OU に存在します。
注記
ランディングゾーンの初期セットアップ時を除き、既存のアカウントを監査アカウントまたはログアーカイブアカウントとして登録することはできません。
信頼されたアクセスを最初にセットアップする
AWS アカウント 既存のアカウントを AWS Control Tower に登録する前に、アカウントを管理または管理する権限を AWS Control Tower に付与する必要があります。具体的には、AWS Control Tower では AWS CloudFormation 、 AWS Organizations AWS CloudFormation 選択した組織のアカウントにスタックを自動的にデプロイできるように、ユーザーに代わって信頼できるアクセスを確立するための権限が必要です。この信頼されたアクセスでは、AWSControlTowerExecution
ロールは、各アカウントを管理するために必要なアクティビティを実行します。そのため、登録する前にこのロールを各アカウントに追加する必要があります。
信頼できるアクセスを有効にすると、複数のアカウントにわたって 1 AWS リージョン 回の操作でスタックを作成、更新、 AWS CloudFormation 削除できます。AWS Control Tower はこの信頼機能を使用して既存のアカウントにロールとアクセス許可を適用します。その後、それらを登録済み組織単位に移動して、管理下に置くことができます。
トラステッド・アクセスの詳細については AWS CloudFormation StackSets、「」AWS CloudFormationStackSetsと AWS Organizations「」を参照してください。
アカウント登録中の処理
登録プロセス中に、AWS Control Tower は以下のアクションを実行します。
-
アカウントのベースラインを作成します。これには、以下のスタックセットのデプロイが含まれます。
-
AWSControlTowerBP-BASELINE-CLOUDTRAIL
-
AWSControlTowerBP-BASELINE-CLOUDWATCH
-
AWSControlTowerBP-BASELINE-CONFIG
-
AWSControlTowerBP-BASELINE-ROLES
-
AWSControlTowerBP-BASELINE-SERVICE-ROLES
-
AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES
-
AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1
これらのスタックセットのテンプレートで既存のポリシーとの競合がないことを確認することをお勧めします。
-
-
AWS IAM Identity Center AWS Organizationsまたはを使用してアカウントを識別します。
-
指定した OU にアカウントを配置します。現在の OU に適用されているすべての SCP を適用して、セキュリティ体制の整合性を保ってください。
-
選択した OU 全体に適用される SCP を使用して、必須のコントロールをアカウントに適用します。
AWS Config アカウントのすべてのリソースを記録するように有効化および設定します。
-
AWS Control Tower AWS Config のディテクティブコントロールをアカウントに適用するルールを追加します。
アカウントと組織レベルの証跡 CloudTrail
OU 内のすべてのメンバーアカウントは、登録されているかどうかにかかわらず、その OU AWS CloudTrail のトレイルによって管理されます。
-
AWS Control Tower にアカウントを登録すると、そのアカウントは新しい組織の AWS CloudTrail 追跡によって管理されます。 CloudTrail 証跡をすでにデプロイしている場合、AWS Control Tower に登録する前にアカウントの既存の証跡を削除しない限り、重複した料金が表示されることがあります。
-
AWS Organizations コンソールを使用して登録済みの OU にアカウントを移動し、そのアカウントの AWS Control Tower への登録に進めない場合は、そのアカウントに残っているアカウントレベルの証跡をすべて削除することをお勧めします。 CloudTrail トレイルをすでにデプロイしている場合は、 CloudTrail 重複した料金が発生します。
landing zone を更新して組織レベルのトレイルをオプトアウトすることを選択した場合、またはlanding zone がバージョン 3.0 より古い場合、 CloudTrail組織レベルのトレイルはアカウントに適用されません。
VPC を使用した既存のアカウントの登録
AWS Control Tower は、Account Factory で新しいアカウントをプロビジョニングするときに、既存のアカウントを登録するときとは異なる方法で VPC を処理します。
-
新しいアカウントを作成すると、AWS Control Tower AWS は自動的にデフォルト VPC を削除し、そのアカウント用に新しい VPC を作成します。
-
既存のアカウントを登録する場合、AWS Control Tower はそのアカウントの新しい VPC を作成しません。
-
既存のアカウントを登録すると、AWS Control Tower はそのアカウントに関連付けられている既存の VPC または AWS のデフォルト VPC を削除しません。
ヒント
Account Factory を設定して新規アカウントに対するデフォルトの動作を変更でき、AWS Control Tower の組織内のアカウントに対して VPC がデフォルトで設定されないようにできます。詳細については、「AWS Control Tower で VPC なしのアカウントを作成する」を参照してください。
アカウントが前提条件を満たしていない場合
前提条件として、AWS Control Tower ガバナンスに登録できるアカウントは、同じ組織全体に属している必要があります。アカウント登録の前提条件を満たすには、以下の準備のステップに従って、AWS Control Tower と同じ組織にアカウントを移動できます。
AWS Control Tower と同じ組織にアカウントを移動するための準備のステップ
-
既存の組織からアカウントを削除します このアプローチを使用する場合は、別の支払い方法を指定する必要があります。
-
アカウントを AWS Control Tower の組織に参加するように招待します。詳細については、ユーザーガイドの「AWS 組織へのアカウントの招待」を参照してください。AWS Organizations
-
招待を受け入れます アカウントは組織のルートに表示されます。このステップでは、アカウントを AWS Control Tower と同じ組織に移動し、SCP および一括請求を確立します。
ヒント
アカウントが古い組織から削除される前に、新しい組織への招待を送信できます。招待は、アカウントが既存の組織から正式に削除されるのを待機します。
残りの前提条件を満たすステップ:
-
必要な
AWSControlTowerExecution
ロールを作成します。 -
デフォルト VPC をクリアします (これはオプションです。AWS Control Tower は既存のデフォルト VPC を変更しません)。
-
またはを使用して、 AWS Config AWS CLI AWS CloudShell既存の設定レコーダーまたは配信チャネルを削除または変更します。詳細については、「AWS Config リソースステータス用の CLI コマンドの例」および「既存の AWS Config リソースを持つアカウントを登録する」を参照してください。
これらの準備手順が完了したら、AWS Control Tower にアカウントを登録できます。詳細については、「アカウントを登録する手順」を参照してください。このステップにより、アカウントが AWS Control Tower の完全な管理下に入ります。
アカウントのプロビジョニングを解除して、アカウントを登録しスタックを維持できるようにするための任意のステップ
-
適用されたスタックを保持するには、 AWS CloudFormation スタックセットからスタックインスタンスを削除し、そのインスタンスの [Retain stacks] を選択します。
-
Account Factory AWS Service Catalog でアカウントプロビジョニングされた製品を終了します。(このステップでは、プロビジョニングされた製品が AWS Control Tower から削除されるだけです。アカウントは削除されません。)
-
必要に応じて、組織に属していないアカウントに必要な請求の詳細を使用してアカウントを設定します。次に、組織からアカウントを削除します (これを行うと、 AWS Organizations アカウントがクォータの合計にカウントされなくなります)。
-
リソースが残っている場合はアカウントをクリーンアップし、「アカウントの管理を解除する」のアカウント閉鎖のステップに従って、アカウントを閉鎖します。
-
コントロールが定義された [Suspended] (停止状態) の OU がある場合、ステップ 1 を実行する代わりに、その OU にアカウントを移動できます。
AWS Config リソースステータス用の CLI コマンドの例
AWS Config 設定レコーダーと配信チャネルのステータスを確認するために使用できるCLI コマンドの例を次に示します。
表示コマンド:
-
aws configservice describe-delivery-channels
-
aws configservice describe-delivery-channel-status
-
aws configservice describe-configuration-recorders
通常の応答は "name": "default"
のようになります。
削除コマンド:
-
aws configservice stop-configuration-recorder --configuration-recorder-name
NAME-FROM-DESCRIBE-OUTPUT
-
aws configservice delete-delivery-channel --delivery-channel-name
NAME-FROM-DESCRIBE-OUTPUT
-
aws configservice delete-configuration-recorder --configuration-recorder-name
NAME-FROM-DESCRIBE-OUTPUT
AWS Organizations アカウントの自動登録
「AWS 既存のアカウントを AWS Control Tower に登録」というブログ記事で説明されている登録方法を使用して
次の YAML テンプレートを使用すると、アカウントに必要なロールを作成してプログラム的に登録できます。
AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess