概要前提条件と制限アーキテクチャツールエピックトラブルシューティング関連リソース

AWS Organizations から AWS Control Tower にAWSメンバーアカウントを移行する

作成者: Rodolfo Jr. Cerrada (AWS）

概要

このパターンでは、管理アカウントによって管理されるメンバーアカウントである AWS Organizations から Amazon Web Services (AWS) アカウントを AWS Control Tower に移行する方法について説明します。AWS Control Tower にアカウントを登録することで、アカウントのガバナンスを合理化する予防ガードレールと検出ガードレールと機能を活用できます。AWS Organizations 管理アカウントが侵害され、メンバーアカウントを AWS Control Tower によって管理される新しい組織に移動する場合は、メンバーアカウントを移行することもできます。

AWS Control Tower は、AWSOrganizations を含む他のいくつかの AWSサービスの機能を組み合わせて統合し、マルチアカウント環境全体で一貫したコンプライアンスとガバナンスを確保するフレームワークを提供します。AWS Control Tower を使用すると、AWSOrganizations の機能を拡張する一連の規則と定義に従うことができます。たとえば、ガードレールを使用して、セキュリティログと必要なクロスアカウントアクセス許可が作成され、変更されないようにできます。

前提条件と制限

前提条件

アクティブなAWSアカウント
AWS Organizations のターゲット組織で Control Tower AWS をセットアップする (手順については、AWSControl Tower ドキュメントの「セットアップ」を参照してください）
AWS Control Tower (AWSControlTowerAdminsグループのメンバー) の管理者認証情報
ソースAWSアカウントの管理者認証情報

制約事項

AWS Organizations のソース管理アカウントは、AWSControl Tower のターゲット管理アカウントとは異なる必要があります。

製品バージョン

AWS Control Tower バージョン 2.3 (2020 年 2 月) 以降 (リリースノートを参照）

アーキテクチャ

次の図は移行プロセスとリファレンスアーキテクチャを示しています。このパターンは、ソース組織から AWS Control Tower によって管理されるターゲット組織にAWSアカウントを移行します。

AWS 別の組織に移行され、登録された OU に移行されたAWSアカウントの Control Tower 登録プロセス。

登録プロセスは、3 つの手順があります。

アカウントは AWS Organizations でソース組織を離れます。
アカウントはスタンドアロンアカウントになります。つまり、アカウントはどの組織にも属さないため、ガバナンスと請求はアカウント管理者によって独立して管理されます。
ターゲット組織は組織に参加するようアカウントの招待を送信します。
スタンドアロンアカウントは招待を受け入れ、ターゲット組織のメンバーになります。
アカウントは AWS Control Tower に登録され、登録された組織単位 (OU) に移動されます。（AWSControl Tower ダッシュボードを確認して登録を確認することをお勧めします。）この時点で、登録済み OU で有効化されているすべてのガードレールが有効になります。

ツール

AWS サービス

AWS Organizations は、作成して一元管理する単一のエンティティ (組織) に複数のAWSアカウントを統合することができるアカウント管理サービスです。
AWS Control Tower は、AWSOrganizations、AWSIAMIdentity Center ( AWS Single Sign-On の後継サービス）、AWSService Catalog などの他のサービスの機能を統合し、 AWS クラウド内のすべての組織とアカウントでセキュリティ、運用、コンプライアンスのガバナンスルールを大規模に強制および管理できるようにします。

エピック

タスク	説明	必要なスキル
メンバーアカウントがスタンドアロンアカウントとして実行できることを確認します。	ソース組織から離れるメンバーアカウントに、スタンドアロンアカウントとしての運用に必要な情報があることを確認します。例えば、メンバーアカウントに請求情報がない場合、 AWSは支払い情報を使用して、アカウントにアタッチされていない間に発生した請求対象AWSアクティビティに対して課金するため、スタンドアロンアカウントとして動作することはできません。通常、AWSOrganizations コンソール、、APIまたは AWS コマンドラインインターフェイス (CLI) コマンドを使用してメンバーアカウントを作成した場合、スタンドアロンアカウントに必要な情報は自動的に収集されません。この情報を追加するには、アカウントにサインインし、サポートプラン、連絡先情報、支払方法を指定します。組織からアカウントを削除する前に知っておく必要があることの詳細については、AWSOrganizations ドキュメントの「組織からアカウントを削除する前に」を参照してください。	アカウント管理者
メンバーアカウントをソース組織から削除します。	AWS Organizations ドキュメントの指示に従って、組織からメンバーアカウントを削除します。組織の管理アカウントにサインインしてメンバーアカウントを削除、またはメンバーアカウントにサインインして組織を離れることもできます。アカウントを削除または離れる管理者レベルの認証情報がない場合は、組織の管理者に支援を求めてください。メンバーアカウントにサポートプラン、連絡先情報、または支払情報がない場合は、その情報の提供と確認を求められます。組織を離れると、AWSOrganizations コンソールの開始方法ページにリダイレクトされ、アカウントが他の組織に参加する招待を表示できます。重要この時点で、アカウントはスタンドアロンアカウントです。AWS 無料利用枠でカバーされていないワークロードを実行している場合は、アカウントに提供した支払いおよび請求情報に従って課金されます。	管理アカウント管理者またはアカウント管理者
メンバーアカウントがソース組織の一部ではなくなったことを確認します。	AWS Organizations コンソールで、組織を残すボタンが表示されなくなりました。代わりに、他の組織からの保留中の招待（ある場合）が表示されるはずです。	アカウント管理者
アカウントへのアクセスを許可するIAMロールを、残した組織から削除します。	ソース組織からアカウントを削除しても、AWSOrganizations または管理者によって作成された AWS Identity and Access Management (IAM) ロールは自動的に削除されません。ソース組織の管理アカウントからのアクセスを終了するには、IAMロールを手動で削除する必要があります。詳細については、 IAMドキュメントの「ロールまたはインスタンスプロファイルの削除」を参照してください。メンバーアカウントが組織を離れると、アカウントにアタッチされていたタグはすべて削除されます。スタンドアロンアカウントはタグをサポートしていません。	アカウント管理者

タスク	説明	必要なスキル
AWS Control Tower にサインインします。	管理者として AWS Control Tower コンソールにサインインします。現在、ソース組織から AWS Control Tower によって管理される OU 内の組織へAWSアカウントを移動する直接的な方法はありません。ただし、既に AWS Control Tower によって管理されている OU に登録するときに、既存のAWSアカウントに AWS Control Tower ガバナンスを拡張できます。そのため、このステップでは AWS Control Tower にログインする必要があります。	AWS Control Tower 管理者
メンバーアカウントを招待します。	AWS Organizations コンソールにサインインし、AWSアカウントページに移動します。 AWS アカウントの追加ページで、既存のAWSアカウントを招待を選択します。 12 桁のアカウント番号 (ダッシュなし)、オプションの説明とタグなど、アカウント情報を入力してから、[Send invitation（招待を送信）] を選択します。重要アカウント移管の影響を受けるアプリケーションやネットワーク接続がないことを確認します。このアクションで、メンバーアカウントへのリンクを記載した招待メールを送信します。アカウント管理者がリンクをたどって招待を受け入れると、メンバーアカウントがAWSアカウントページに表示されます。詳細については、AWSOrganizations ドキュメントの「組織に参加するAWSアカウントを招待する」を参照してください。	AWS Control Tower 管理者
アプリケーションと接続性をテストします。	メンバーアカウントが新しい組織に登録されると、ルート内の OU に表示されます。また、AWSControl Tower コンソールにも表示され、アカウントに登録されていないとフラグが付けられます。これは、AWSControl Tower に登録された OU にまだ登録されていないためです。以下について確認します。 AWS Control Tower ダッシュボードで、ガードレール違反がないかどうかを確認します。ネットワーク接続 (VPN または AWS Direct Connect) をチェックして、転送の影響を受けていないことを確認します。 (アプリケーション所有者) このアカウントに関連付けられているアプリケーションをテストして、アプリケーションが期待どおりに動作し、依存関係がアカウント移管の影響を受けていないことを確認します。	AWS Control Tower 管理者、メンバーアカウント管理者、アプリケーション所有者

タスク

説明

必要なスキル

AWS Control Tower にサインインします。

管理者として AWS Control Tower コンソールにサインインします。

現在、ソース組織から AWS Control Tower によって管理される OU 内の組織へAWSアカウントを移動する直接的な方法はありません。ただし、既に AWS Control Tower によって管理されている OU に登録するときに、既存のAWSアカウントに AWS Control Tower ガバナンスを拡張できます。そのため、このステップでは AWS Control Tower にログインする必要があります。

AWS Control Tower 管理者

メンバーアカウントを招待します。

AWS Organizations コンソールにサインインし、AWSアカウントページに移動します。
AWS アカウントの追加ページで、既存のAWSアカウントを招待を選択します。
12 桁のアカウント番号 (ダッシュなし)、オプションの説明とタグなど、アカウント情報を入力してから、[Send invitation（招待を送信）] を選択します。

重要

アカウント移管の影響を受けるアプリケーションやネットワーク接続がないことを確認します。

このアクションで、メンバーアカウントへのリンクを記載した招待メールを送信します。アカウント管理者がリンクをたどって招待を受け入れると、メンバーアカウントがAWSアカウントページに表示されます。詳細については、AWSOrganizations ドキュメントの「組織に参加するAWSアカウントを招待する」を参照してください。

AWS Control Tower 管理者

アプリケーションと接続性をテストします。

メンバーアカウントが新しい組織に登録されると、ルート内の OU に表示されます。また、AWSControl Tower コンソールにも表示され、アカウントに登録されていないとフラグが付けられます。これは、AWSControl Tower に登録された OU にまだ登録されていないためです。

以下について確認します。

AWS Control Tower ダッシュボードで、ガードレール違反がないかどうかを確認します。
ネットワーク接続 (VPN または AWS Direct Connect) をチェックして、転送の影響を受けていないことを確認します。
(アプリケーション所有者) このアカウントに関連付けられているアプリケーションをテストして、アプリケーションが期待どおりに動作し、依存関係がアカウント移管の影響を受けていないことを確認します。

AWS Control Tower 管理者、メンバーアカウント管理者、アプリケーション所有者

タスク	説明	必要なスキル
ガードレールを見直し、違反があれば修正します。	ターゲット OU で定義されているガードレール、特に予防用ガードレールを確認し、違反があれば修正します。 AWS Control Tower ランディングゾーンを設定すると、いくつかの必須の予防ガードレールがデフォルトで有効になります。これらは無効化できません。アカウントを登録する前に、これらの必須のガードレールを確認し、メンバーアカウントを (手動またはスクリプトを使用して) 修正する必要があります。注記予防ガードレールは、AWSControl Tower の登録済みアカウントを準拠させ、ポリシー違反を防止します。予防的ガードレールの違反は登録に影響する可能性があります。検出ガードレール違反は、登録が成功すると、検出されると AWS Control Tower ダッシュボードに表示されます。登録プロセスには影響しません。詳細については、 AWSドキュメントのAWS「 Control Tower のガードレール」を参照してください。	AWS Control Tower 管理者、メンバーアカウント管理者
ガードレール違反を修正したら、接続の問題を確認します。	場合によっては、ガードレール違反を修正するには、特定のポートを閉じる、またはサービスを無効化する必要があります。アカウントを登録する前に、それらのポートやサービスを使用するアプリケーションが修正されていることを確認します。	アプリ所有者

タスク

説明

必要なスキル

ガードレールを見直し、違反があれば修正します。

ターゲット OU で定義されているガードレール、特に予防用ガードレールを確認し、違反があれば修正します。

AWS Control Tower ランディングゾーンを設定すると、いくつかの必須の予防ガードレールがデフォルトで有効になります。これらは無効化できません。アカウントを登録する前に、これらの必須のガードレールを確認し、メンバーアカウントを (手動またはスクリプトを使用して) 修正する必要があります。

注記

予防ガードレールは、AWSControl Tower の登録済みアカウントを準拠させ、ポリシー違反を防止します。予防的ガードレールの違反は登録に影響する可能性があります。検出ガードレール違反は、登録が成功すると、検出されると AWS Control Tower ダッシュボードに表示されます。登録プロセスには影響しません。詳細については、 AWSドキュメントのAWS「 Control Tower のガードレール」を参照してください。

AWS Control Tower 管理者、メンバーアカウント管理者

ガードレール違反を修正したら、接続の問題を確認します。

場合によっては、ガードレール違反を修正するには、特定のポートを閉じる、またはサービスを無効化する必要があります。アカウントを登録する前に、それらのポートやサービスを使用するアプリケーションが修正されていることを確認します。

アプリ所有者

タスク	説明	必要なスキル
AWS Control Tower コンソールにサインインします。	AWS Control Tower の管理権限を持つサインイン認証情報を使用します。AWS Organizations アカウントを登録するために、ルートユーザー (管理アカウント) の認証情報を使用しないでください。エラーメッセージが表示されます。	AWS Control Tower 管理者
アカウントを登録します。	AWS Control Tower の Account Factory ページから、アカウントの登録を選択します。登録するアカウントに関連付けられた E メールアドレス、AWSControl Tower に表示される表示名、IAMIdentity Center の E メールアドレス、アカウント所有者の姓名、アカウントを登録する OU などの詳細を入力します。IAM Identity Center の E メールアドレスは、優先ユーザーの E メールアドレスです。アカウントメールと同じメールアドレスを使用できます。 [[Enroll account（アカウントの登録）] を選択します。詳細については、AWSControl Tower ドキュメントの「既存のアカウントを登録する」を参照してください。	AWS Control Tower 管理者

タスク	説明	必要なスキル
アカウントを検証します。	AWS Control Tower から、アカウントを選択します。登録したばかりのアカウントの初期状態は [Enrolling（登録中）] です。登録が完了すると、状態は [Enrolled（登録済み）] に変わります。	AWS Control Tower 管理者、メンバーアカウント管理者
ガードレールの違反がないか確認します。	OUで定義されたガードレールは、登録されたメンバーアカウントに自動的に適用されます。AWS Control Tower ダッシュボードで違反をモニタリングし、それに応じて修正します。詳細については、 AWSドキュメントのAWS「 Control Tower のガードレール」を参照してください。	AWS Control Tower 管理者、メンバーアカウント管理者

トラブルシューティング

問題	ソリューション
[An unknown error occurred（不明のエラーが発生しました）] というエラーメッセージが表示されます。後で再試行するか、 AWS サポートにお問い合わせください。	このエラーは、AWSControl Tower でルートユーザー認証情報 (管理アカウント) を使用して新しいアカウントを登録する場合に発生します。 AWSService Catalog は Account Factory ポートフォリオまたは製品をルートユーザーにマッピングできず、エラーメッセージが発生します。このエラーを修正するには、ルート以外のフルアクセスユーザー (管理者) 認証情報を使用して新しいアカウントを登録します。管理ユーザーに管理アクセスを割り当てる方法の詳細については、 AWS IAM Identity Center ( AWS Single Sign-On の後継) ドキュメントの「開始方法」を参照してください。
AWS Control Tower のアクティビティページには、致命的なドリフトの取得アクションが表示されます。	このアクションは、サービスのドリフトチェックを反映し、AWSControl Tower のセットアップに関する問題を示すものではありません。アクションは必要ありません。

問題

ソリューション

[An unknown error occurred（不明のエラーが発生しました）] というエラーメッセージが表示されます。後で再試行するか、 AWS サポートにお問い合わせください。

このエラーは、AWSControl Tower でルートユーザー認証情報 (管理アカウント) を使用して新しいアカウントを登録する場合に発生します。 AWSService Catalog は Account Factory ポートフォリオまたは製品をルートユーザーにマッピングできず、エラーメッセージが発生します。このエラーを修正するには、ルート以外のフルアクセスユーザー (管理者) 認証情報を使用して新しいアカウントを登録します。管理ユーザーに管理アクセスを割り当てる方法の詳細については、 AWS IAM Identity Center ( AWS Single Sign-On の後継) ドキュメントの「開始方法」を参照してください。

AWS Control Tower のアクティビティページには、致命的なドリフトの取得アクションが表示されます。

このアクションは、サービスのドリフトチェックを反映し、AWSControl Tower のセットアップに関する問題を示すものではありません。アクションは必要ありません。