翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
既存の を登録する AWS アカウント
AWS Control Tower ガバナンスを AWS Control Tower によって既に管理されている組織単位 (OU) に登録 AWS アカウント すると、ガバナンスを個々の既存の に拡張できます。対象アカウントは、AWS Control Tower OUs と同じ AWS Organizations 組織の一部である未登録の OU に存在します。
注記
ランディングゾーンの初期セットアップ時を除き、既存のアカウントを監査アカウントまたはログアーカイブアカウントとして登録することはできません。
信頼されたアクセスを最初にセットアップする
既存の AWS アカウント を AWS Control Tower に登録する前に、AWS Control Tower が アカウントを管理または管理するアクセス許可を付与する必要があります。具体的には、AWS Control Tower には、ユーザーに代わって AWS CloudFormation と の間に信頼 AWS Organizations されたアクセスを確立するためのアクセス許可が必要です。これにより、 AWS CloudFormation は選択した組織内のアカウントにスタックを自動的にデプロイできます。この信頼されたアクセスでは、AWSControlTowerExecution ロールは、各アカウントを管理するために必要なアクティビティを実行します。そのため、登録する前にこのロールを各アカウントに追加する必要があります。
信頼されたアクセスが有効になっている場合は、1 回のオペレーション AWS リージョン で複数のアカウントおよび のスタックを作成、更新、または削除 AWS CloudFormation できます。AWS Control Tower はこの信頼機能を使用して既存のアカウントにロールとアクセス許可を適用します。その後、それらを登録済み組織単位に移動して、管理下に置くことができます。
信頼されたアクセスと の詳細については AWS CloudFormation StackSets、「」およびAWS CloudFormationStackSetsAWS Organizations「」を参照してください。
アカウント登録中の処理
登録プロセス中に、AWS Control Tower は以下のアクションを実行します。
-
アカウントのベースラインを作成します。これには、以下のスタックセットのデプロイが含まれます。
-
AWSControlTowerBP-BASELINE-CLOUDTRAIL -
AWSControlTowerBP-BASELINE-CLOUDWATCH -
AWSControlTowerBP-BASELINE-CONFIG -
AWSControlTowerBP-BASELINE-ROLES -
AWSControlTowerBP-BASELINE-SERVICE-ROLES -
AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES -
AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1
これらのスタックセットのテンプレートで既存のポリシーとの競合がないことを確認することをお勧めします。
-
-
AWS IAM Identity Center または を通じてアカウントを識別します AWS Organizations。
-
指定した OU にアカウントを配置します。現在の OU に適用されているすべての SCP を適用して、セキュリティ体制の整合性を保ってください。
-
選択した OU 全体に適用される SCP を使用して、必須のコントロールをアカウントに適用します。
アカウント内のすべてのリソースを記録するように を有効に AWS Config して設定します。
-
AWS Control Tower 検出コントロールをアカウントに適用する AWS Config ルールを追加します。
アカウントと組織レベルの CloudTrail 証跡
OU 内のすべてのメンバーアカウントは、登録されているかどうかにかかわらず、OU の AWS CloudTrail 証跡によって管理されます。
-
AWS Control Tower にアカウントを登録すると、そのアカウントは新しい組織の AWS CloudTrail 追跡によって管理されます。証 CloudTrail 跡の既存のデプロイがある場合、AWS Control Tower に登録する前にアカウントの既存の証跡を削除しない限り、料金が重複して発生する可能性があります。
-
AWS Organizations コンソールを使用して登録済みの OU にアカウントを移動し、そのアカウントの AWS Control Tower への登録に進めない場合は、そのアカウントに残っているアカウントレベルの証跡をすべて削除することをお勧めします。証 CloudTrail 跡の既存のデプロイがある場合、 CloudTrail 料金が重複して発生します。
ランディングゾーンを更新して組織レベルの証跡をオプトアウトする場合、またはランディングゾーンがバージョン 3.0 より古い場合、組織レベルの CloudTrail証跡はアカウントに適用されません。
VPC を使用した既存のアカウントの登録
AWS Control Tower は、Account Factory で新しいアカウントをプロビジョニングするときに、既存のアカウントを登録するときとは異なる方法で VPC を処理します。
-
新しいアカウントを作成すると、AWS Control Tower は AWS デフォルトの VPC を自動的に削除し、そのアカウントの新しい VPC を作成します。
-
既存のアカウントを登録する場合、AWS Control Tower はそのアカウントの新しい VPC を作成しません。
-
既存のアカウントを登録すると、AWS Control Tower はそのアカウントに関連付けられている既存の VPC または AWS のデフォルト VPC を削除しません。
ヒント
Account Factory を設定して新規アカウントに対するデフォルトの動作を変更でき、AWS Control Tower の組織内のアカウントに対して VPC がデフォルトで設定されないようにできます。詳細については、「AWS Control Tower で VPC なしのアカウントを作成する」を参照してください。
アカウントが前提条件を満たしていない場合
前提条件として、AWS Control Tower ガバナンスに登録できるアカウントは、同じ組織全体に属している必要があります。アカウント登録の前提条件を満たすには、以下の準備のステップに従って、AWS Control Tower と同じ組織にアカウントを移動できます。
AWS Control Tower と同じ組織にアカウントを移動するための準備のステップ
-
既存の組織からアカウントを削除します このアプローチを使用する場合は、別の支払い方法を指定する必要があります。
-
アカウントを AWS Control Tower の組織に参加するように招待します。詳細については、「 ユーザーガイド」の「組織への AWS アカウントの招待」を参照してください。 AWS Organizations
-
招待を受け入れます アカウントは組織のルートに表示されます。このステップでは、アカウントを AWS Control Tower と同じ組織に移動し、SCP および一括請求を確立します。
ヒント
アカウントが古い組織から削除される前に、新しい組織への招待を送信できます。招待は、アカウントが既存の組織から正式に削除されるのを待機します。
残りの前提条件を満たすステップ:
-
必要な
AWSControlTowerExecutionロールを作成します。 -
デフォルト VPC をクリアします (これはオプションです。AWS Control Tower は既存のデフォルト VPC を変更しません)。
-
または を使用して、既存の AWS Config 設定レコーダーまたは配信チャネルを削除 AWS CLI または変更します AWS CloudShell。詳細については、「リソースステータスの AWS Config CLI コマンドの例」および「既存の AWS Config リソースを持つアカウントを登録する」を参照してください。
これらの準備手順が完了したら、AWS Control Tower にアカウントを登録できます。詳細については、「アカウントを登録する手順」を参照してください。このステップにより、アカウントが AWS Control Tower の完全な管理下に入ります。
アカウントのプロビジョニングを解除して、アカウントを登録しスタックを維持できるようにするための任意のステップ
-
適用された AWS CloudFormation スタックを保持するには、スタックセットからスタックインスタンスを削除し、インスタンスのスタックを保持を選択します。
-
AWS Service Catalog Account Factory でアカウントプロビジョニング済み製品を終了します。(このステップでは、プロビジョニングされた製品が AWS Control Tower から削除されるだけです。アカウントは削除されません。)
-
必要に応じて、組織に属していないアカウントに必要な請求の詳細を使用してアカウントを設定します。次に、組織からアカウントを削除します (これを行うと、アカウントは AWS Organizations クォータの合計にはカウントされません)。
-
リソースが残っている場合はアカウントをクリーンアップし、「アカウントの管理を解除する」のアカウント閉鎖のステップに従って、アカウントを閉鎖します。
-
コントロールが定義された [Suspended] (停止状態) の OU がある場合、ステップ 1 を実行する代わりに、その OU にアカウントを移動できます。
リソースステータスの AWS Config CLI コマンドの例
設定レコーダーと配信チャネルのステータスを判断するために使用できる AWS Config CLI コマンドの例を次に示します。
表示コマンド:
-
aws configservice describe-delivery-channels -
aws configservice describe-delivery-channel-status -
aws configservice describe-configuration-recorders
通常の応答は "name": "default" のようになります。
削除コマンド:
-
aws configservice stop-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-delivery-channel --delivery-channel-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT
AWS Organizations アカウントの自動登録
「既存の AWS アカウントを AWS Control Tower に登録
次の YAML テンプレートを使用すると、アカウントに必要なロールを作成してプログラム的に登録できます。
AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
