翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Control Tower への既存の組織単位の登録 複数の既存の AWS アカウントを AWS Control Tower に取り込む効率的な方法は、AWS Control Tower による*ガバナンスを組織単位 (OU) 全体に拡張*することです。 で作成された既存の OU AWS Organizationsとそのアカウントに対する AWS Control Tower ガバナンスを有効にするには、AWS Control Tower ランディングゾーンに OU *を登録*します。最大 1000 のアカウントが含まれている OU を登録できます。1000 を超えるアカウントが含まれている OU は、AWS Control Tower に登録できません。 OU を登録すると、そのメンバーアカウントが AWS Control Tower ランディングゾーンに登録されます。メンバーアカウントは、OU に適用されるコントロールによって管理されます。 Landing Zone バージョン 4.0 以降では、OU でコントロールを直接有効にできます。検出コントロールには、OU を登録するか、OU で AWS Config 記録を有効にすることでアクティブ化できる AWS Config 記録が必要です。登録 OU は を有効にします`AWSControlTowerBaseline`。AWS Config 記録を有効にすると、 が有効になります`ConfigBaseline`。詳細については、「[ベースラインのタイプ](types-of-baselines.md)」および「[**AWS Control Tower Controls Reference Guide**](link-to-new-guide.md)」を参照してください。 **注記** AWS Control Tower ランディングゾーンをまだお持ちでない場合は、まず、AWS Control Tower によって作成された新しい組織または既存の AWS Organizations 組織のいずれかでランディングゾーンを設定します。ランディングゾーンのセットアップ方法の詳細については、「[AWS Control Tower の使用開始方法](getting-started-with-control-tower.md)」を参照してください。 **OU の登録によるアカウントの処理** AWS Control Tower では、 AWS CloudFormation が組織内のアカウントにスタックを自動的にデプロイできるように、 AWS Organizations ユーザーに代わって AWS CloudFormation と の間に信頼されたアクセスを確立するためのアクセス許可が必要です。 + ステータスが **[Not enrolled]** (未登録) であるすべてのアカウントに `AWSControlTowerExecution` ロールが追加されます。 + OU を登録すると、デフォルトでは OU に対して必須のコントロールが有効になります。 **OU 登録後の一部のアカウントの登録** OU を正常に登録できても、一部のアカウントが未登録のままになることがあります。その場合、未登録のアカウントは登録の前提条件の一部を満たしていません。**[Register OU]** (OU の登録) プロセスの一環としてアカウントの登録が失敗した場合は、アカウントページのアカウントステータスに **[Enrollment failed]** (登録に失敗しました) と表示されます。OU ページでは、アカウントフィールドに **[4 of 5]** (4/5) といったアカウント情報が表示されることもあります。 例えば、**[4 of 5]** と表示されている場合は、**[Register OU]** (OU の登録) プロセスを実行したところ、OU に全部で 5 個あるアカウントのうち 4 個は正常に登録されたものの、1 個が失敗したということになります。アカウントを登録するには、アカウントが登録の前提条件を満たしていることを確認した後で **[Re-Register OU]** (OU を再登録) を選択します。 **IAM ユーザーが OU を登録するための前提条件** アクセス`Admin`許可がすでにある場合でも、**Register OU **オペレーションを実行するときは、 AWS Identity and Access Management (IAM) ID (ユーザーまたはロール) または IAM Identity Center ユーザー ID を適切な Account Factory ポートフォリオに含める必要があります。そうしないと、登録時にプロビジョニング済み製品の作成が失敗します。失敗するのは、AWS Control Tower が OU の登録時に IAM ユーザーまたは IAM Identity Center ユーザー ID の認証情報を利用するためです。 これに関連するポートフォリオは、**AWS Control Tower Account Factory Portfolio** という AWS Control Tower によって作成されたものです。このポートフォリオに移動するには、**[Service Catalog] > [Account Factory] > [AWS Control Tower Account Factory Portfolio]** を選択します。次に、**[グループ、ロール、およびユーザー]** というタブを選択して、IAM または IAM Identity Center ID を表示します。アクセス権を付与する方法の詳細については、「[AWS Service Catalogのドキュメント](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)」を参照してください。