AWS Control Tower の外部でリソースを管理する場合 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower の外部でリソースを管理する場合

AWS Control Tower はお客様に代わってアカウント、組織単位、その他のリソースをセットアップしますが、これらのリソースの所有者はお客様です。これらのリソースは、AWS Control Tower の内部または外部で変更できます。AWS Control Tower の外部でリソースを変更する最も一般的な場所は、 AWS Organizations コンソールです。このトピックでは、AWS Control Tower の外部で変更を行う場合に、AWS Control Tower リソースへの変更を調整する方法について説明します。

AWS Control Tower コンソールの外部でリソースの名前変更、削除、移動を行うと、コンソールが同期しなくなります。変更の多くは自動的に調整されます。一部の変更では、AWS Control Tower コンソールに表示される情報を更新するために、landing zone をリセットする必要があります。

一般的に、AWS Control Tower コンソールの外部で AWS Control Tower リソースに変更を加えると、landing zone に解決可能なドリフトの状態が生じます。これらの変更の詳細については、「リソースへの修復可能な変更」を参照してください。

landing zone リセットが必要なタスク
  • セキュリティ OU の削除 (特殊なケースであるため、不用意に行わないでください)

  • セキュリティ OU からの共有アカウントの削除 (非推奨)

  • セキュリティ OU に関連付けられた SCP の更新、アタッチ、またはデタッチ。

AWS Control Tower によって自動的に更新される変更
  • 登録済みアカウントの E メールアドレスの変更

  • 登録済みアカウントの名前変更

  • 新しい最上位の組織単位 (OU) の作成

  • 登録済み OU の名前変更

  • 登録済み OU の削除 (更新が必要なセキュリティ OU は除きます)

  • 登録済みアカウントの削除 (セキュリティ OU の共有アカウントは除きます)

注記

AWS Service Catalog 変更は AWS Control Tower とは異なる方法で処理されます。 AWS Service Catalog 変更内容が調整されると、ガバナンス態勢に変化が生じる可能性があります。プロビジョニング済み製品の更新について詳しくは、ドキュメントの「プロビジョニング済み製品の更新」を参照してください。 AWS Service Catalog

AWS Control Tower の外部にあるリソースの参照

AWS Control Tower の外部で新しい OU とアカウントを作成した場合は、それらが表示されていても、AWS Control Tower の管理対象外となります。

OU の作成

AWS Control Tower の外部で作成された組織単位 (OU) は未登録と見なされます。そうした OU は、[Organization] (組織) ページに表示されますが、AWS Control Tower コントロールの管理対象外となります。

アカウントの作成

AWS Control Tower の外部で作成されたアカウントは未登録と見なされます。AWS Control Tower に登録済みの OU に属する登録済みアカウントと未登録アカウントは、[Organization] (組織) ページに表示されます。登録済み OU に属していないアカウントは、 AWS Organizations コンソールを使用して招待できます。この招待の目的は、アカウントを AWS Control Tower に登録したり、AWS Control Tower の管理対象をアカウントに拡大したりすることではありません。アカウントを登録して管理対象を拡大するには、AWS Control Tower で [Organization] (組織) ページまたは [Account detail] (アカウント詳細) に移動し、 [Enroll account] (アカウントを登録) を選択します。

AWS Control Tower の外部でのリソース名の変更

AWS Control Tower コンソールの外部で組織単位 (OU) とアカウントの名前を変更できます。変更すると、その変更を反映するためにコンソールが自動的に更新されます。

OU の名前変更

では AWS Organizations、 AWS Organizations API またはコンソールを使用して OU の名前を変更できます。AWS Control Tower の外部で OU 名を変更すると、AWS Control Tower コンソールに名前の変更が自動的に反映されます。ただし、を使用してアカウントをプロビジョニングする場合は AWS Service Catalog、AWS Control Tower との一貫性を保つためにlanding zone もリセットする必要があります AWS Organizations。リセットワークフローにより、基本 OU と追加 OU のサービス間で一貫性が保たれます。この種のドリフトは、ランディングゾーンの設定ページから解決できます。「AWS Control Tower でドリフトを検出して解決する」の「ドリフトの解決」を参照してください。

AWS Control Tower ダッシュボードの [Organization] (組織) ページに OU の名前が表示されます。landing zone リセット操作がいつ成功したかを確認できます。

登録済みアカウントの名前変更

AWS 各アカウントには表示名があり、アカウントの root AWS Billing and Cost Management ユーザーがコンソールで変更できます。AWS Control Tower に登録されているアカウントの名前を変更すると、その名前変更が AWS Control Tower に自動的に反映されます。アカウント名の変更について詳しくは、『AWS Billing User Guide』の「AWS アカウントの管理」を参照してください。

セキュリティ OU の削除

このタイプのドリフトは特殊なケースです。Security OU を削除すると、landing zone リセットを求めるエラーメッセージページが表示されます。AWS Control Tower で他のアクションを実行する前に、landing zone をリセットする必要があります。

  • AWS Service Catalog リセットが完了するまで、AWS Control Tower コンソールではアクションを実行できず、新しいアカウントを作成することもできません。

  • ランディングゾーンの設定ページには表示されず、そこに [リセット] ボタンが表示されません。

この場合、landing zone リセットプロセスによって新しいセキュリティ OU が作成され、2 つの共有アカウントが新しいセキュリティ OU に移動します。AWS Control Tower は、ログアーカイブアカウントと監査アカウントをドリフト済みとしてマークします。同じプロセスで、これらのアカウントのドリフトを解決します。

[Security] (セキュリティ) OU を削除する必要があると判断した場合は、次の点に留意してください。

[Security] (セキュリティ) OU を削除する前に、その OU にアカウントが含まれていないことを確認する必要があります。具体的には、OU からログアーカイブアカウントと監査アカウントを削除する必要があります。これらのアカウントを別の OU に移動することをお勧めします。

注記

セキュリティ OU を削除するアクションは不用意に実行しないでください。ログが一時的に停止されている場合、一部のコントロールが適用されない可能性があるため、このアクションによりコンプライアンスの問題が発生することがあります。

ドリフトに関する一般的な情報については、「AWS Control Tower でドリフトを検出して解決する」の「ドリフトの解決」を参照してください。

セキュリティ OU からのアカウントの削除

組織から共有アカウントを削除したり、[Security] (セキュリティ) OU から共有アカウントを移動したりすることはお勧めしません。誤って共有アカウントを削除した場合は、このセクションの修復ステップに従ってアカウントを復元できます。

  • AWS Control Tower コンソール内から: 修復プロセスを開始するには、半手動修復ステップに従います。AWS Control Tower コンソールへのアクセスに使用するユーザーまたはロールに、organizations:InviteAccountToOrganization を実行する許可があることを確認します。このような権限がない場合は、AWS Control Tower コンソールとコンソールの両方を使用する手動修復手順に従ってください。 AWS Organizations

  • AWS Organizations コンソールからの開始:この修正プロセスは少し長く、完全に手動で行う必要があります。手動による修復手順に従うときは、コンソールと AWS Control Tower AWS Organizations コンソールを切り替えます。で作業する場合は AWS Organizations、AWSOrganizationsFullAccess管理ポリシーまたは同等の条件を満たすユーザーまたはロールが必要です。AWS Control Tower コンソールで作業するときは、AWSControlTowerServiceRolePolicy マネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controtower: *) を持つユーザーまたはロールが必要です。

  • 修復ステップでアカウントが復元されない場合は、 AWS Supportにお問い合わせください。

共有アカウントを削除した結果 AWS Organizations:
  • AWS Control Tower の必須のコントロールのサービスコントロールポリシー (SCP) によってアカウントが保護されなくなります。結果: AWS Control Tower によってアカウント内に作成されたリソースが変更または削除される場合があります。

  • AWS Organizations そのアカウントは管理アカウントではなくなった。結果: AWS Organizations 管理アカウントの管理者は、アカウントの支出を確認できなくなりました。

  • アカウントが監視されることは保証されなくなりました AWS Config。結果: AWS Organizations 管理アカウントの管理者は、リソースの変更を検出できない場合があります。

  • アカウントが組織内に存在しなくなります。結果:AWS Control Tower の更新とリセットは失敗します。

AWS Control Tower コンソールを使用して共有アカウントを復元するには (半手動の手順)
  1. https://console.aws.amazon.com/controltower で AWS Control Tower コンソールにサインインします。organizations:InviteAccountToOrganization を実行する許可を持つ IAM ユーザー、IAM Identity Center のユーザー、またはロールとしてサインインする必要があります。このような許可がない場合は、このトピックで後述する手動修復ステップを使用してください。

  2. [Landing zone drift detected] (ランディングゾーンのドリフトが検出されました) ページで、[Re-Invite] (再招待) を選択して、共有アカウントを組織に再招待することで共有アカウントの削除を修復します。自動的に生成された E メールが、アカウントの E メールアドレスに送信されます。

  3. 招待を承諾して、共有アカウントを組織に戻します。以下のいずれかを実行します。

    • 削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites に移動します。

    • アカウントを再招待したときに送信された E メールメッセージにアクセスできる場合は、削除したアカウントにサインインし、メッセージ内のリンクをクリックして、アカウントの招待に直接移動します。

    • 削除された共有アカウントが別の組織にない場合は、アカウントにサインインし、 AWS Organizations コンソールを開いて [Invitations] に移動します。

  4. 管理アカウントに再度サインインするか、AWS Control Tower コンソールが既に開いている場合は再ロードします。[Landing zone drift] (ランディングゾーンドリフト) ページが表示されます。[リセット] を選択してlanding zone を修復します。

  5. リセット処理が完了するまでお待ちください。

修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。

修復ステップでアカウントが復元されない場合は、 AWS Supportにお問い合わせください。

AWS Control Tower AWS Organizations とコンソールを使用して共有アカウントを復元するには (手動による修正)
  1. AWS Organizations でコンソールにサインインします。https://console.aws.amazon.com/organizations/AWSOrganizationsFullAccess マネージドポリシーまたは同等のものを持つ IAM ユーザー、IAM Identity Center のユーザー、またはロールとしてサインインする必要があります。

  2. 共有アカウントを組織に招待し直します。アカウントを招待するための要件、前提条件、手順については、『ユーザーガイド』の「 AWS OrganizationsAWS 組織へのアカウントの招待」を参照してください。AWS Organizations

  3. 削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites に移動して、招待を承諾します。

  4. 管理アカウントにもう一度サインインします。。

  5. AWSControlTowerServiceRolePolicy マネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controltower:*) を持つユーザーまたはロールとして、AWS Control Tower コンソールにサインインします。

  6. ランディングゾーンのドリフトページが表示され、landing zone をリセットするオプションが表示されます。[リセット] を選択してlanding zone を修復します。

  7. リセット処理が完了するまでお待ちください。

修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。

修復ステップでアカウントが復元されない場合は、 AWS Supportにお問い合わせください。

自動的に更新される外部変更

アカウントの E メールアドレスに加えた変更は、AWS Control Tower では自動的に更新されますが、Account Factory では自動的に更新されません。

管理対象アカウントの E メールアドレスの変更

AWS Control Tower は、コンソールエクスペリエンスから求められた E メールアドレスを取得して表示します。したがって、共有アカウントおよびその他のアカウントの E メールアドレスは、変更後も常に更新され、AWS Control Tower に表示されます。

注記

では AWS Service Catalog、Account Factory には、プロビジョニング済み製品を作成したときにコンソールで指定されたパラメータが表示されます。ただし、元のアカウントの E メールアドレスは変更されても、自動的には更新されません。これは、アカウントがプロビジョニングされた製品に概念的に含まれているためです。プロビジョニングされた製品とは異なります。この値を更新するには、プロビジョニングされた製品を更新する必要があります。これにより、ガバナンス体制が変更される可能性があります。

AWS Config 外部ルールの適用

AWS Control Tower には、AWS Control Tower AWS Config に登録されている組織単位にデプロイされたすべてのルールのコンプライアンスステータスが表示されます。これには、AWS Control Tower コンソールの外部でアクティブ化されたルールも含まれます。

AWS Control Tower の外部での AWS Control Tower リソースの削除

AWS Control Tower で OU とアカウントを削除でき、これ以上のアクションを実行することなく更新を確認できます。Account Factory は、OU を削除したときには自動的に更新されますが、アカウントを削除したときには更新されません。

登録済み OU の削除 (セキュリティ OU は除きます)

AWS Organizations内部では、API またはコンソールを使用して空の組織単位 (OU) を削除できます。アカウントを含む OU は削除できません。

AWS Control Tower は、OU AWS Organizations が削除されたときに通知を受け取ります。また、Account Factory の OU リストが更新されて、登録済み OU のリストの整合性が保たれます。

注記

では AWS Service Catalog、Account Factory が更新され、アカウントをプロビジョニングできる使用可能な OU のリストから削除された OU が削除されます。

OU からの登録済みアカウントの削除

登録済みアカウントを削除すると、AWS Control Tower に通知が届いて更新が行われます。これにより、情報の整合性が保たれます。

注記

では AWS Service Catalog、管理対象アカウントを表す Account Factory でプロビジョニングされた製品は、アカウントを削除するように更新されていません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、 AWS Service Catalogに移動し、プロビジョニングされた製品を選択してから、[Terminate] (削除) を選択します。