必要なIAMロールを既存の に手動で追加 AWS アカウント して登録する - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

必要なIAMロールを既存の に手動で追加 AWS アカウント して登録する

AWS Control Tower ランディングゾーンをすでに設定している場合は、AWSControl Tower に登録されている OU への組織のアカウントの登録を開始できます。ランディングゾーンを設定していない場合は、「ステップ 2 入門」のAWS「Control Tower ユーザーガイド」で説明されているステップに従ってください。 https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-twoランディングゾーンの準備ができたら、次の手順を実行して、既存のアカウントを手動で AWS Control Tower でガバナンスします。

この章で前述した 登録の前提条件 を必ず確認してください。

AWS Control Tower にアカウントを登録する前に、そのアカウントを管理するアクセス許可を AWS Control Tower に付与する必要があります。これを行うには、次のステップに示すように、アカウントへのフルアクセス権を持つロールを追加します。これらのステップは、登録するアカウントごとに実行する必要があります。

アカウントごとに次の手順を実行します。

ステップ 1: 登録するアカウントが現在含まれている組織の管理アカウントに、管理者アクセス権を使ってサインインします。

例えば、このアカウントを から作成 AWS Organizations し、クロスアカウントIAMロールを使用してサインインする場合、次のステップに従うことができます。

  1. 組織の管理アカウントにサインインします。

  2. AWS Organizations に移動します。

  3. [Accounts] (アカウント) で、登録するアカウントを選択し、アカウント ID をコピーします。

  4. 上部のナビゲーションバーのアカウントドロップダウンメニューを開き、[Switch Role] (ロールの切り替え) を選択します。

  5. [Switch Role] (ロールの切り替え) フォームで、次のフィールドに入力します。

    • [Account] (アカウント) に、コピーしたアカウント ID を入力します。

    • ロール で、このアカウントへのクロスアカウントアクセスを有効にするIAMロールの名前を入力します。このロールの名前は、アカウントの作成時に定義されています。アカウントの作成時にロール名を指定していない場合は、デフォルトのロール名、OrganizationAccountAccessRole を入力します。

  6. [Switch Role] (ロールの切り替え) を選択します。

  7. これで、子アカウント AWS Management Console として にサインインする必要があります。

  8. 完了したら、次の手順を実行するために子アカウントにとどまります。

  9. 管理アカウント ID は次のステップで入力する必要があるため、メモしておきます。

ステップ 2: アカウントを管理するアクセス許可を AWS Control Tower に付与します。

  1. に移動しますIAM

  2. [Roles] (ロール) に移動します。

  3. [ロールの作成] を選択します。

  4. ロールがどのサービスであるかを選択するように求められたら、カスタム信頼ポリシー を選択します。

  5. ここに示すコード例をコピーして、ポリシードキュメントに貼り付けます。文字列を置き換える 管理アカウント ID 管理アカウントの実際の管理アカウント ID を使用します。貼り付けるポリシーは次のとおりです。

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. ポリシーのアタッチを求められたら、 を選択しますAdministratorAccess

  7. [Next:Tags] (次へ: タグ) を選択します。

  8. [Add tags] (タグを追加する) というタイトルのオプションの画面が表示されることがあります。[Next:Review] (次へ: レビュー) を選択して、この画面をスキップします。

  9. [Review] (確認) 画面の [Role name] (ロール名) フィールドに、AWSControlTowerExecution と入力します。

  10. [Description] (説明) ボックスに、登録のためのフルアカウントアクセスを許可などの短い説明を入力します。

  11. [ロールの作成] を選択します。

ステップ 3: 登録された OU に移動してアカウントを登録し、登録を確認します。

ロールを作成して必要なアクセス許可を設定したら、次のステップに従ってアカウントを登録し、登録を確認します。

  1. Admin として再度サインインし、AWSControl Tower に移動します。

  2. アカウントを登録します。

    • AWS Control Tower の Organization ページでアカウントを選択し、右上の Actions ドロップダウンメニューから Enroll を選択します。

    • アカウントを登録する手順 ページで示されているように、個々のアカウントを登録する手順に従います。

  3. 登録を確認します。

    • AWS Control Tower から、左側のナビゲーションで Organization を選択します。

    • 最近登録したアカウントを探します。初期状態では、[Enrolling] (登録中) のステータスが表示されます。

    • 状態が [Enrolled] (登録済み) に変わったら、移動は成功です。

このプロセスを続行するには、AWSControl Tower に登録する組織内の各アカウントにサインインします。各アカウントについて、前提条件のステップと登録のステップを繰り返します。