アカウントが前提条件を満たしていない場合 - AWS Control Tower

アカウントが前提条件を満たしていない場合

前提条件として、AWS Control Tower ガバナンスに登録できるアカウントは、同じ組織全体に属している必要があります。アカウント登録の前提条件を満たすには、以下の準備のステップに従って、AWS Control Tower と同じ組織にアカウントを移動できます。

AWS Control Tower と同じ組織にアカウントを移動するための準備のステップ

  1. 既存の組織からアカウントを削除します このアプローチを使用する場合は、別の支払い方法を指定する必要があります。

  2. アカウントを AWS Control Tower の組織に参加するように招待します。詳細については、「AWS Organizations ユーザーガイド」の「組織での AWS アカウントの招待」を参照してください。

  3. 招待を受け入れます アカウントは組織のルートに表示されます。このステップでは、アカウントを AWS Control Tower と同じ組織に移動し、SCP および一括請求を確立します。

ヒント

アカウントが古い組織から削除される前に、新しい組織への招待を送信できます。招待は、アカウントが既存の組織から正式に削除されるのを待機します。

残りの前提条件を満たすステップ:

  1. 必要な AWSControlTowerExecution ロールを作成します。

  2. デフォルト VPC をクリアします (これはオプションです。AWS Control Tower は既存のデフォルト VPC を変更しません)。

  3. AWS CLI または AWS CloudShell を通じて既存の AWS Config 設定レコーダーまたは配信チャネルを削除または変更します。詳細については、「リソースステータスの AWS Config CLI コマンドの例」および「既存の AWS Config リソースを持つアカウントを登録する」を参照してください。

これらの準備手順が完了したら、AWS Control Tower にアカウントを登録できます。詳細については、「アカウントを登録する手順」を参照してください。このステップにより、アカウントが AWS Control Tower の完全な管理下に入ります。

アカウントのプロビジョニングを解除して、アカウントを登録しスタックを維持できるようにするための任意のステップ

  1. 適用された AWS CloudFormation スタックを保持するには、スタックセットからスタックインスタンスを削除し、そのインスタンスに対して [Retain stacks] (スタックの保持) を選択します。

  2. AWS Service Catalog Account Factory のアカウントでプロビジョニングされた製品を終了します。(このステップでは、プロビジョニングされた製品が AWS Control Tower から削除されるだけです。アカウントは削除されません。)

  3. 必要に応じて、組織に属していないアカウントに必要な請求の詳細を使用してアカウントを設定します。次に、組織からアカウントを削除します (これは、アカウントが AWS Organizations クォータの合計に対してカウントされないようにするためです)。

  4. リソースが残っている場合はアカウントをクリーンアップし、「アカウントを登録解除する」のアカウント閉鎖のステップに従って、アカウントを閉鎖します。

  5. コントロールが定義された [Suspended] (停止状態) の OU がある場合、ステップ 1 を実行する代わりに、その OU にアカウントを移動できます。