AWS Control Tower への既存の組織単位の登録

AWS 複数の既存のアカウントを AWS Control Tower に統合する効率的な方法は、AWS Control Tower によるガバナンスを組織単位 (OU) 全体にまで拡大することです。

AWS Organizationsで作成された既存の OU とそのアカウントに対して AWS Control Tower ガバナンスを有効にするには、その OU を AWS Control Tower のlanding zone に登録します。最大 300 個のアカウントが含まれている OU を登録できます。300 を超えるアカウントが含まれている OU は、AWS Control Tower に登録できません。

OU を登録すると、そのメンバーアカウントが AWS Control Tower ランディングゾーンに登録されます。メンバーアカウントは、OU に適用されるコントロールによって管理されます。

OU の登録によるアカウントの処理

AWS Control Tower では、 AWS CloudFormation スタックを組織内のアカウントに自動的にデプロイできるように、ユーザーに代わって信頼できるアクセスを確立するための権限が必要です。 AWS CloudFormation AWS Organizations

OU 登録後の一部のアカウントの登録

OU を正常に登録できても、一部のアカウントが未登録のままになることがあります。その場合、未登録のアカウントは登録の前提条件の一部を満たしていません。[Register OU] (OU の登録) プロセスの一環としてアカウントの登録が失敗した場合は、アカウントページのアカウントステータスに [Enrollment failed] (登録に失敗しました) と表示されます。OU ページでは、アカウントフィールドに [4 of 5] (4/5) といったアカウント情報が表示されることもあります。

例えば、[4 of 5] と表示されている場合は、[Register OU] (OU の登録) プロセスを実行したところ、OU に全部で 5 個あるアカウントのうち 4 個は正常に登録されたものの、1 個が失敗したということになります。アカウントを登録するには、アカウントが登録の前提条件を満たしていることを確認した後で [Re-Register OU] (OU を再登録) を選択します。

IAM ユーザーが OU を登録するための前提条件

OU の登録操作を実行するときは、 AWS Identity and Access Management Adminすでにアクセス許可がある場合でも、(IAM) ID (ユーザーまたはロール) または IAM Identity Center ユーザー ID を適切な Account Factory ポートフォリオに含める必要があります。そうしないと、登録時にプロビジョニング済み製品の作成が失敗します。失敗するのは、AWS Control Tower が OU の登録時に IAM ユーザーまたは IAM Identity Center ユーザー ID の認証情報を利用するためです。

これに関連するポートフォリオは、AWS Control Tower Account Factory Portfolio という AWS Control Tower によって作成されたものです。このポートフォリオに移動するには、[Service Catalog] > [Account Factory] > [AWS Control Tower Account Factory Portfolio] を選択します。次に、[グループ、ロール、およびユーザー] というタブを選択して、IAM または IAM Identity Center ID を表示します。アクセス権を付与する方法の詳細については、「AWS Service Catalogのドキュメント」を参照してください。