翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
既存のアカウントを登録する
アカウント登録機能は Control AWS Tower コンソールで使用できます。既存の を登録 AWS アカウント してAWS、Control Tower によって管理されるようにできます。詳細については、「既存の を登録する AWS アカウント」を参照してください。
[Enroll account] (アカウントの登録) 機能は、ランディングゾーンがドリフト状態でないときに使用できます。コンソールでこの機能を表示するには:
-
AWS Control Tower の Organization ページに移動します。
-
登録するアカウントの名前を見つけます。見つけるには、アカウント名は、右上にあるドロップダウンメニューから [Accounts only] (アカウントのみ) を選択し、フィルターされたテーブルで探してください。
-
アカウントを登録する手順 セクションで示されているように、個々のアカウントを登録する手順に従います。
注記
既存の を登録する場合は AWS アカウント、既存の E メールアドレスを確認してください。それ以外の場合は、新しいアカウントが作成されます。
特定のエラーが表示された場合、ページを更新してもう一度試す必要があります。ランディングゾーンがドリフト状態にある場合は、[Enroll account] (アカウントの登録) 機能を正常に使用できないことがあります。ランディングゾーンのドリフトが解決されるまで、Account Factory を使用して新しいアカウントをプロビジョニングする必要があります。
AWS Control Tower コンソールからアカウントを登録するときは、AWSServiceCatalogEndUserFullAccessポリシーが有効になっているユーザーと AWS Control Tower コンソールを使用する管理者アクセス許可を持つアカウントにサインインする必要があります。ルートユーザーとしてサインインすることはできません。
登録したアカウントは、他のアカウントを更新する場合と同様に、 AWS Service Catalog および AWS Control Tower アカウントファクトリーによって更新される場合があります。更新手順については、「AWS Control Tower または でアカウントファクトリーアカウントを更新および移動する AWS Service Catalog」セクションを参照してください。
アカウントを登録する手順
既存のアカウントでAdministratorAccessアクセス許可 (ポリシー) を設定したら、次のステップに従ってアカウントを登録します。
AWS Control Tower に個々のアカウントを登録するには
-
AWS Control Tower Organization ページに移動します。
-
[Organization] (組織) ページで、登録できるアカウントでは、セクション上部の [Actions] ドロップダウンメニューから [Enroll] を選択できます。これらのアカウントには、[Account details] (アカウントの詳細) ページでも [Enroll account] (アカウントの登録) ボタンが表示されます。
-
[Enroll account] (アカウントの登録) を選択した場合、[Enroll account] (アカウントの登録) ページが表示され、
AWSControlTowerExecutionロールをアカウントに追加するよう促されます。手順については、「必要なIAMロールを既存の に手動で追加 AWS アカウント して登録する」を参照してください。 -
次に、ドロップダウンの一覧から登録された OU を選択します。アカウントが既に登録済みの OU にある場合、このリストには OU が表示されます。
-
[[Enroll account(アカウントの登録)] を選択します。
-
AWSControlTowerExecutionロールを追加するためのモーダルリマインダーが表示されるので、アクションを確認します。 -
[Enroll] (登録する) を選択します。
-
AWS Control Tower は登録プロセスを開始し、アカウントの詳細ページに戻ります。
登録の失敗の一般的な原因
-
既存のアカウントを登録するには、登録するアカウントに
AWSControlTowerExecutionロールが存在する必要があります。 -
IAM プリンシパルには、アカウントのプロビジョニングに必要なアクセス許可がない場合があります。
-
AWS Security Token Service (AWS STS) は、ホームリージョン AWS アカウント の または AWS Control Tower でサポートされている任意のリージョンで無効になっています。
-
AWS Service Catalogの Account Factory ポートフォリオに追加する必要があるアカウントにサインインしている場合があります。アカウントを AWS Control Tower で作成または登録するには、Account Factory にアクセスする前にアカウントを追加する必要があります。適切なユーザーまたはロールが Account Factory ポートフォリオに追加されていない場合、アカウントを追加しようとするとエラーが発生します。 AWS Service Catalog ポートフォリオへのアクセスを許可する方法については、「 ユーザーへのアクセスを許可する」を参照してください。
-
root としてサインインしている可能性があります。
-
登録しようとしているアカウントには、残っている AWS Config 設定がある場合があります。特に、アカウントに設定レコーダーや配信チャネルを持たないようにできます。アカウントを登録する AWS CLI 前に、 を通じてこれらを削除または変更する必要があります。詳細については、「既存の AWS Config リソースを持つアカウントを登録する」および「AWS Control Tower を通じて を操作する AWS CloudShell」を参照してください。
-
アカウントが別の AWS Control Tower OU を含む管理アカウントを持つ別の OU に属している場合は、別の OU に参加する前に、現在の OU でアカウントを終了する必要があります。元の OU で既存のリソースを削除する必要があります。それ以外の場合、登録は失敗します。
-
送信先 OU が、そのアカウントに必要なすべてのリソースを作成SCPsできない場合、アカウントのプロビジョニングと登録は失敗します。例えば、送信先 OU SCPの は、特定のタグなしでリソースの作成をブロックする場合があります。この場合、AWSControl Tower はリソースのタグ付けをサポートしていないため、アカウントのプロビジョニングまたは登録は失敗します。サポートについては、アカウント担当者または AWS Supportにお問い合わせください。
新しいアカウントの作成時または既存のアカウントの登録時に AWS Control Tower がロールを操作する方法の詳細については、「ロールとアカウント」を参照してください。
ヒント
既存の が登録の前提条件 AWS アカウント を満たしていることを確認できない場合は、登録 OU を設定し、その OU にアカウントを登録できます。登録が成功したら、アカウントを目的の OU に移動できます。登録が失敗した場合、他のアカウントや OUsは失敗の影響を受けません。
既存のアカウントとその設定が AWS Control Tower と互換性があることが不明な場合は、次のセクションで推奨されるベストプラクティスに従ってください。
推奨: アカウントの登録に 2 段階のアプローチを設定する
-
まず、コン AWS Config フォーマンスパックを使用して、いくつかの AWS Control Tower コントロールによってアカウントがどのように影響を受けるかを評価します。AWS Control Tower への登録がアカウントにどのように影響するかを確認するには、「コンAWS Config フォーマンスパック を使用した AWS Control Tower ガバナンスの拡張
」を参照してください。 -
次に、アカウントを登録できます。コンプライアンスの結果が満足のいくものであれば、予期しない結果を招くことなくアカウントを登録できるため、移行パスが簡単になります。
-
評価が完了したら、AWSControl Tower ランディングゾーンを設定する場合は、評価用に作成された AWS Config 配信チャネルと設定レコーダーを削除する必要がある場合があります。その後、AWSControl Tower を正常にセットアップできます。
注記
コンフォーマンスパックは、アカウントが AWS Control Tower OUsに登録されているが、ワークロードが AWS Control Tower のサポートがない AWS リージョン内で実行される状況でも機能します。コンフォーマンスパックを使用して、AWSControl Tower がデプロイされていないリージョンに存在するアカウントのリソースを管理できます。
