AWS Control Tower に既存の組織単位を登録する

複数の既存の AWS アカウントを AWS Control Tower に取り込む効率的な方法は、AWSControl Tower によるガバナンスを組織単位 (OU) 全体に拡張することです。

AWS Organizationsとそのアカウントで作成された既存の OU に対する AWS Control Tower ガバナンスを有効にするには、OU を AWS Control Tower ランディングゾーンに登録します。最大 1000 OUs個のアカウントを含む を登録できます。OU に 1000 を超えるアカウントが含まれている場合、AWSControl Tower に登録することはできません。

OU を登録すると、そのメンバーアカウントが AWS Control Tower ランディングゾーンに登録されます。メンバーアカウントは、OU に適用されるコントロールによって管理されます。

OU の登録によるアカウントの処理

AWS Control Tower には、 が組織内のアカウントにスタックを自動的にデプロイできるように、 AWS Organizations ユーザーに代わって AWS CloudFormation と の間に信頼 AWS CloudFormation されたアクセスを確立するためのアクセス許可が必要です。

OU 登録後の一部のアカウントの登録

OU を正常に登録できても、一部のアカウントが未登録のままになることがあります。その場合、未登録のアカウントは登録の前提条件の一部を満たしていません。[Register OU] (OU の登録) プロセスの一環としてアカウントの登録が失敗した場合は、アカウントページのアカウントステータスに [Enrollment failed] (登録に失敗しました) と表示されます。OU ページでは、アカウントフィールドに [4 of 5] (4/5) といったアカウント情報が表示されることもあります。

例えば、[4 of 5] と表示されている場合は、[Register OU] (OU の登録) プロセスを実行したところ、OU に全部で 5 個あるアカウントのうち 4 個は正常に登録されたものの、1 個が失敗したということになります。アカウントを登録するには、アカウントが登録の前提条件を満たしていることを確認した後で [Re-Register OU] (OU を再登録) を選択します。

IAM OU を登録するための ユーザー前提条件

アクセスAdmin許可がすでにある場合でも、Register OU オペレーションを実行するときは、 AWS Identity and Access Management （IAM) ID (ユーザーまたはロール) または IAM Identity Center ユーザー ID を適切な Account Factory ポートフォリオに含める必要があります。そうしないと、登録時にプロビジョニング済み製品の作成が失敗します。AWS Control Tower が OU の登録時にIAMユーザーまたは IAM Identity Center のユーザー ID の認証情報に依存しているため、障害が発生します。

関連するポートフォリオは、AWSControl Tower AWS Account Factory Portfolio と呼ばれる Control Tower によって作成されたポートフォリオです。Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio を選択して、これに移動します。次に、グループ、ロール、ユーザーというタブを選択して、 IAMまたは IAM Identity Center の ID を表示します。アクセス権を付与する方法の詳細については、「AWS Service Catalogのドキュメント」を参照してください。