前提条件: 管理アカウントの起動前自動チェック
AWS Control Tower では、ランディングゾーンをセットアップする前に、アカウントで一連の起動前チェックが自動的に実行されます。これらのチェックは、ランディングゾーンを確立する変更に管理アカウントが対応できることを確認するためのものであり、お客様側のアクションは必要ありません。ランディングゾーンをセットアップする前に AWS Control Tower が実行するチェックは次のとおりです。
-
AWS アカウントの既存のサービスの制限は、AWS Control Tower が起動するのに十分であることが必要です。詳細については、「AWS Control Tower の制限とクォータ」を参照してください。
-
AWS アカウント は、次の AWS のサービスに登録している必要があります。
-
Amazon Simple Storage Service (Amazon S3)
-
Amazon Elastic Compute Cloud (Amazon EC2)
-
Amazon SNS
-
Amazon Virtual Private Cloud (Amazon VPC)
-
AWS CloudFormation
-
AWS CloudTrail
-
Amazon CloudWatch
-
AWS Config
-
AWS Identity and Access Management (IAM)
-
AWS Lambda
注記
デフォルトでは、すべてのアカウントがこれらのサービスに登録されています。
-
AWS IAM Identity Center (IAM Identity Center) のお客様に対する考慮事項
-
AWS IAM Identity Center (IAM Identity Center) が既にセットアップされている場合、AWS Control Tower ホームリージョンは IAM Identity Center リージョンと同じである必要があります。
-
IAM Identity Center は、組織の管理アカウントにのみインストールできます。
-
選択した ID ソースに基づいて、次の 3 つのオプションが IAM Identity Center ディレクトリに適用されます。
-
IAM Identity Center ユーザーストア: SSO for AWS Control Tower が IAM Identity Center でセットアップされている場合、AWS Control Tower は IAM Identity Center ディレクトリにグループを作成し、メンバーアカウント用に選択したユーザーに対してこれらのグループへのアクセスをプロビジョニングします。
-
Active Directory: IAM Identity Center for AWS Control Tower が Active Directory でセットアップされている場合、AWS Control Tower は IAM Identity Center ディレクトリを管理しません。新規 AWS アカウントにユーザーやグループを割り当てません。
-
外部 ID プロバイダー: AWS Control Tower for IAM Identity Center が外部 ID プロバイダー (IdP) でセットアップされている場合、AWS Control Tower は IAM Identity Center ディレクトリにグループを作成し、メンバーアカウント用に選択したユーザーに対してこれらのグループへのアクセスをプロビジョニングします。アカウントの作成時に Account Factory の外部 IdP から既存のユーザーを指定できます。AWS Control Tower は、IAM Identity Center と外部 IdP 間で同じ名前のユーザーを同期するときに、その新しく発行されたアカウントへのアクセス許可を指定されたユーザーに付与します。AWS Control Tower のデフォルトグループの名前と一致するように外部 IdP にグループを作成することもできます。これらのグループにユーザーを割り当てると、ユーザーが登録済みのアカウントにアクセスできるようになす。
IAM Identity Center および AWS Control Tower の使用に関する詳細については、「IAM Identity Center アカウントと AWS Control Tower に関する注意事項」を参照してください。
-
AWS Config と AWS CloudTrail のお客様にとっての考慮事項
-
AWS アカウント では、AWS Config または CloudTrail の組織管理アカウントで、信頼されたアクセスを有効にすることはできません。信頼されたアクセスを無効にする方法の詳細については、AWS Organizations のドキュメントで信頼されたアクセスを有効または無効にする方法を参照してください。
-
AWS Control Tower に登録する予定の既存のアカウントに既存の AWS Config レコーダー、配信チャネル、または集計がセットアップされている場合は、ランディングゾーンのセットアップ後、アカウントの登録を開始する前にそれらの設定を変更または削除する必要があります。この事前チェックは、ランディングゾーンの起動時に AWS Control Tower 管理アカウントには適用されません。詳細については、「既存の AWS Config リソースを持つアカウントを登録する」を参照してください。
-
AWS Control Tower のアカウントからエフェメラルワークロードを実行している場合は、AWS Config に関連するコストが増大する可能性があります。これらのコストの管理の詳細については、AWS アカウント担当者にお問い合わせください。
-
AWS Control Tower にアカウントを登録すると、そのアカウントは AWS Control Tower 組織の AWS CloudTrail 追跡によって管理されます。アカウントに CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。組織レベルの追跡と AWS Control Tower の詳細については、「料金」を参照してください。
注記
起動時に、AWS Control Tower が管理するすべてのリージョンの管理アカウントで、AWS Security Token Service (STS) エンドポイントをアクティブにする必要があります。この操作を行わないと、設定プロセスの途中で起動が失敗する可能性があります。