既存の OU の登録
AWS Control Tower コンソールの [Organization] (組織) ページでは、AWS Control Tower に登録済みの OU や未登録の OU を含め、組織のすべての OU とアカウントを階層で表示できます。
一般に、未登録の OU は AWS Organizations で作成され、他のランディングゾーンによって管理されていません。最大 1000 のアカウントが含まれている既存の OU を登録できます。1000 を超えるアカウントが含まれている OU は、AWS Control Tower に登録できません。
既存の OU を登録するには
-
https://console.aws.amazon.com/controltower
で AWS Control Tower コンソールにサインインします。 -
左ペインのナビゲーションメニューで、[Organization] (組織) を選択します。
-
[Organization] (組織) ページで、登録する OU の横にあるラジオボタンを選択し、右上の [Actions] (アクション) ドロップダウンメニューから [Register organizational unit] (組織単位の登録) を選択します。または、OU の名前を選択すると、その OU の [OU details] (OU の詳細) ページが表示されます。
-
[OU details] (OU の詳細) ページで、右上の [Actions] (アクション) ドロップダウンメニューから [Register OU] (OU の登録) を選択できます。
登録プロセスでは、管理対象を OU に拡大するのに少なくとも 10 分かかり、アカウントを追加するたびに最大 2 分かかります。
既存の OU を登録した場合の結果
既存の OU を登録すると、AWSControlTowerExecution ロールにより、AWS Control Tower の管理対象を個々のアカウントに拡大できます。ガードレールが適用され、アカウントアクティビティに関する情報が監査およびログ記録のアカウントに報告されます。
他には以下のような結果があります。
-
AWSControlTowerExecutionを使用すると、AWS Control Tower 監査アカウントによる監査が可能になります。 -
AWSControlTowerExecutionでは、各アカウントのすべてのログがログ記録アカウントに送信されるように組織のログ記録を設定できます。 -
AWSControlTowerExecutionにより、選択した AWS Control Tower コントロールが OU 内の個々のアカウントと AWS Control Tower で作成したすべての新規アカウントに自動的に適用されるようになります。
登録済み OU の場合、AWS Control Tower コントロールによって具体化される監査機能とログ記録機能に基づいて、コンプライアンスレポートとセキュリティレポートを提供できます。セキュリティチームとコンプライアンスチームは、すべての要件が満たされていること、組織ドリフトが発生していないことを確認できます。ドリフトの詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。
注記
AWS Control Tower に OU とそのアカウントが表示されるときに、ある異常な状況が発生することがあります。登録済み OU にアカウントを作成した後、登録済みのアカウントを別の未登録の OU に移動すると (特に AWS Organizations を使用してアカウントを移動すると)、OU の詳細ページに「1/0」アカウントという結果が表示されることがあります。また、その未登録の OU に別の未登録のアカウントを作成した可能性もあります。未登録のアカウントがある場合、コンソールではその OU に対して「1/1」などと表示されます。単一の (新規作成の) アカウントが登録されているように見えますが、実際には登録されていません。新しいアカウントを登録する必要があります。
