Account Factory でのアカウントのプロビジョニングと管理 - AWS Control Tower

Account Factory でのアカウントのプロビジョニングと管理

この章では、Account Factory を使用して AWS Control Tower ランディングゾーンに新しいメンバーアカウントをプロビジョニングするための概要と手順について説明します。

アカウントの設定とプロビジョニングのためのアクセス許可

AWS Control Tower Account Factory を使用すると、クラウド管理者と AWS IAM Identity Center (successor to AWS Single Sign-On) エンドユーザーは、ランディングゾーンでアカウントをプロビジョニングできます。デフォルトでは、IAM Identity Center ユーザーは AWSAccountFactory グループまたは管理グループに属している必要があります。

注記

組織全体で緩やかな許可を持つアカウントを使用する場合と同様に、管理アカウントから作業するときは注意が必要です。

AWS Control Tower 管理アカウントには AWSControlTowerExecution ロールとの信頼関係があります。これにより、一部の自動アカウント設定も含めて、管理アカウントからのアカウント設定が可能になります。AWSControlTowerExecution ロールの詳細については、「AWS Control Tower がロールと連携してアカウントを作成および管理する方法」を参照してください。

注記

既存の AWS アカウントを AWS Control Tower に登録するには、そのアカウントで AWSControlTowerExecution ロールが有効になっている必要があります。既存のアカウントを登録する方法の詳細については、「既存の AWS アカウントを登録する」を参照してください。

Account Factory アカウントの管理に関する考慮事項

AWS Control Tower Account Factory を通じてプロビジョニングしたアカウントは、更新、解約、転用が可能です。例えば、アカウントのユーザーパラメータを更新することで、他のワークロードや他のユーザーに既存のアカウントを転用できます。

Account Factory によって発行されたアカウントに関連付けられたプロビジョニング済み製品を更新するときに、新しい IAM Identity Center ユーザーの E メールアドレスを指定すると、AWS Control Tower によって新しい IAM Identity Center ユーザーアカウントが作成されます。以前に作成したユーザーアカウントは削除されません。IAM Identity Center から以前の IAM Identity Center ユーザーの E メールを削除する場合は、「Disabling a User」(ユーザーを無効にする) を参照してください。

Account Factory では、この章の手順に従って、アカウントの組織単位 (OU) を変更したり、アカウントの管理を解除したりすることもできます。アカウントの管理解除について詳細は、「アカウントの管理を解除する」を参照してください。特定の更新では、適切なアクセス許可を得るために、ユーザーまたは管理者がアカウントにルートユーザーとしてサインインする場合必要があります。