翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control TowerAWS ランディングゾーン組織にデプロイする
このシナリオでは、現在 AWS ランディングゾーンソリューションを実行している組織 AWS Control Tower での AWS Organizations デプロイに関連するステップについて詳しく説明します。
-
現在のサービスクォータを超えることなく、2 つの新しいアカウントを作成できることを確認してください。必要に応じて、サービスクォータの引き上げをリクエストします。 AWS ランディングゾーンに使用したランディングゾーンの既存のアカウントを使用している場合を除き、新しいアカウント
はデプロイの一部として AWS Control Tower デプロイされます。 -
現在 を使用している場合は AWS IAM Identity Center、IAMIdentity Center が設定されている同じ AWS リージョン AWS Control Tower にデプロイします。
-
AWS Organizations コンソールで、 AWS Config および AWS CloudTrail サービスの信頼されたアクセスがアクティブ化されている場合は、無効化を選択します。詳細については、「AWS ドキュメント」を参照してください。
-
をデプロイします AWS Control Tower。詳細については、「AWS ドキュメント」を参照してください。
既存の組織で AWS Control Tower ランディングゾーンをセットアップする場合に期待できることを以下に示します。
-
各 AWS Organizations 組織に 1 つのランディングゾーンを設定できます。
-
AWS Control Tower は、既存の AWS Organizations 組織の管理アカウントを管理アカウントとして使用します。新しい管理アカウントは不要です。
-
AWS Control Tower は、既存のアカウントをセットアップ中に使用していない限り、登録済みの Security OU に監査アカウントとログアーカイブアカウントという 2 つの新しいアカウントを設定します。既存のアカウントを使用している場合、 AWS Control Tower は AWS Control Tower デプロイ中に作成した OU の下に監査およびログアーカイブアカウントを移動します。
-
組織のサービスクォータは、これら 2 つの追加アカウントの作成に十分である必要があります。
-
起動後、 AWS Control Tower ガードレールは、その OU のアカウントに自動的に適用されます。
-
によって管理される OU に既存の AWS アカウントを追加で登録して AWS Control Tower、それらのアカウントにガードレールを適用できます。
設定 AWS Control Tower 後に既存の AWS アカウントまたは OUsを に登録する場合は、 ガイドの既存の組織セクションの「 で AWS Control Tower 既存の AWS アカウントを登録する」を参照してください。
既存の組織に既存の AWS アカウント AWS Control Tower を に登録する
すでに によって AWS Control Tower 管理されている組織単位 (OU) に登録すると、ガバナンスを個々の既存の AWS アカウントに拡張できます AWS Control Tower。対象アカウントは、 AWS Control Tower OU と同じ AWS Organizations 組織の一部である未登録OUsの に存在します。
AWS Control Tower コンソール AWS Control Tower から に OU を登録できます。OU を登録すると、 AWS Control Tower は OU 内のすべてのアカウントを に登録します AWS Control Tower。
個々のアカウントを登録するのではなく、OU を登録することをお勧めします。このアプローチの利点は、OU ID が変更されないことです。OU ID を使用するポリシーやルールがある場合は、変更を加える必要はありません。
で AWS アカウントを登録する前に AWS Control Tower、 という名前の AWS CloudFormation スタックセットからスタックインスタンスを削除しますAWS-Landing-Zone-Baseline-EnableConfig。登録する各アカウントで、 AWS Control Tower がデプロイされているすべての AWS リージョンで、AWS-Landing-Zone-Baseline-EnableConfigスタックインスタンスを削除する必要があります。スタックセット全体の削除には時間がかかるため、登録するアカウントに対してのみスタックインスタンスを削除することをお勧めします。理想的には、特定のアカウントのスタックインスタンスを削除すると、 AWS Config レコーダーと配信チャネルが削除されます。削除を確認するには、そのアカウントの次のコマンドを実行します。
aws configservice describe-configuration-recorders --region <region_name> aws configservice describe-delivery-channels --region <region_name>
コンソールから OU AWS Control Tower 登録機能を使用する AWS Control Tower
既存の AWS アカウントを持つ OU 全体を登録する前に、必ず以下を実行してください。
-
前述のように、 AWS Config レコーダーと配信チャネルを、その OU の下にあるすべてのアカウントのすべてのリージョンから削除します。
詳細については、「 に既存の組織単位を登録する AWS Control Tower」を参照してください。
アカウントが に登録されると AWS Control Tower、登録したアカウントの別のプロビジョニング済み製品が Service Catalog に表示されます。プロビジョニングされた製品の名前には、Enroll- というプレフィックスが付けられます。つまり、Service Catalog に 1 つのアカウント用に 2 つのプロビジョニング済み製品が追加されました。
-
AWS ランディングゾーンアカウント自動販売機からプロビジョニングされた製品 1 つ
-
への登録から 1 つのプロビジョニング済み製品 AWS Control Tower
ランディングゾーンから AWS アカウントのプロビジョニング済み製品を終了するオプションがありますが、移行が完了するまで待つことをお勧めします。
AWS Landing Zone 環境で販売されたアカウントのプロビジョニング済み製品を終了すると、Terminateオペレーションは、保持する可能性のある関連するベースライン AWS CloudFormation スタックセットの削除を開始します。manifest.yaml のベースラインスタックセットを評価し、スタックセットを削除する意味を理解してください。スタックセットに保持するリソースがある場合は、プロビジョニングされた製品を削除しないでください。部分的な削除を行うと、プロビジョニングされた製品は Service Catalog コンソールでテイント状態になります。
または、アカウント自動販売機によって作成されたプロビジョニング済み製品を AWS ランディングゾーンから保持することもできます。
既存の組織から新しい組織の AWS Control Tower への AWS アカウント登録
AWS Control Tower 新しい AWS Organizations 組織にデプロイすることもできます。新しい組織 AWS Control Tower で を設定するには、次の手順を実行します。
-
新しいAWS アカウント
を作成します。 -
新しく作成したアカウントにデプロイ AWS Control Tower します。
-
既存の組織から をデプロイした新しい組織に AWS アカウントを移行するには AWS Control Tower、手順
を参照してください。対象となるアカウントアクセス、請求、ライセンス、税金に関する考慮事項をすべて確認し、理解することが重要です。 -
組織間で AWS アカウントを移行するプロセスを理解するには、 間のアカウントを一括請求 AWS Organizations ですべての機能に移行する
ブログ記事を参照してください。 -
AWS アカウントを に登録し始めます AWS Control Tower。登録を実行するには、「既存の組織 AWS Control Tower で を使用して既存の AWS アカウントを登録する」セクションを参照してください。
