AWS Control Tower
ユーザーガイド

Account Factory

この章では、AWS Service Catalog コンソールをベースにした、Landing Zone で使用する新しいアカウントをプロビジョニングするために使用する製品である、Account Factory の概要と手順を説明します。

AWS Service Catalog を介したアカウントの設定とプロビジョニング

Account Factory を使用すると、中央のクラウド管理者と AWS シングルサインオン エンドユーザーが Landing Zone でアカウントをプロビジョニングできます。デフォルトでは、アカウントをプロビジョニングする AWS SSO ユーザーは AWSAccountFactory グループに属している必要があります。ただし、プログラムを使用してアカウントをプロビジョニングする場合、この作業を実行する ID には AWSServiceCatalogEndUserFullAccess に加え、次の IAM アクセス許可ポリシーが必要です。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSControlTowerAccountFactoryAccess", "Effect": "Allow", "Action": [ "sso:GetProfile", "sso:CreateProfile", "sso:UpdateProfile", "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:GetSSOStatus", "sso:GetTrust", "sso:CreateTrust", "sso:UpdateTrust", "sso:GetPeregrineStatus", "sso:GetApplicationInstance", "sso:ListDirectoryAssociations", "sso:ListPermissionSets", "sso:GetPermissionSet", "sso:ProvisionApplicationInstanceForAWSAccount", "sso:ProvisionApplicationProfileForAWSAccountInstance", "sso:ProvisionSAMLProvider", "sso:ListProfileAssociations", "sso-directory:ListMembersInGroup", "sso-directory:AddMemberToGroup", "sso-directory:SearchGroups", "sso-directory:SearchGroupsWithGroupName", "sso-directory:SearchUsers", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:DescribeDirectory", "sso-directory:GetUserPoolInfo", "controltower:CreateManagedAccount", "controltower:DescribeManagedAccount", "controltower:DeregisterManagedAccount", "s3:GetObject" ], "Resource": "*" } ] }

AWS SSO と AWS Control Tower の使用の詳細については、「AWS シングルサインオン によるユーザーとアカウントの管理」を参照してください。次の手順では、AWS SSO エンドユーザーとしてアカウントをプロビジョニングする方法について説明します。

Account Factory でエンドユーザーとしてアカウントをプロビジョニングするには

  1. ユーザーポータル URL にサインインします。

  2. [Your applications] から、[AWS Account] を選択します。

  3. アカウントのリストで、マスターアカウントのアカウント ID を選択します。これには [(Master)] のラベルもあります。

  4. [AWSServiceCatalogEndUserAccess] から [Management console] を選択します。これにより、このアカウントのこのユーザーの AWS マネジメントコンソール が開きます。

  5. [Service Catalog] を検索して選択し、AWS Service Catalog コンソールを開きます。

  6. ナビゲーションペインで、[Products list] を選択します。

  7. [AWS Control Tower Account Factory] からドロップダウンメニューを選択して、[Launch product] を選択します。これにより、新しいアカウントをプロビジョニングするウィザードが開始します。

  8. 情報を入力し、以下の点に注意してください。

    • [SSOUserEmail] は新しい E メールアドレスか既存の AWS SSO ユーザーに関連付けられた E メールアドレスのいずれかです。どちらを選択しても、このユーザーにはプロビジョニングするアカウントへの管理者アクセスが許可されます。

    • [AccountEmail] は、AWS アカウントにまだ関連付けられていない E メールアドレスであることが必要です。[SSOUserEmail] で新しい E メールアドレスを使用する場合は、ここでもそのアドレスを使用できます。

  9. 完了したら、ウィザードの [Review (確認)] ページが表示されるまで [NEXT (次へ)] を選択します。[TagOptions] を定義しないでください。また、[Notifications] を有効にしないでください。これらの操作を行うと、アカウントのプロビジョニングに失敗する可能性があります。

  10. アカウント設定を確認し、[LAUNCH] を選択します。リソースプランを作成しないでください。この操作を行うと、アカウントのプロビジョニングに失敗します。

  11. これで、アカウントのプロビジョニングが開始されました。この処理には数分かかることがあります。ページをリフレッシュして表示されたステータス情報を更新できます。

プロビジョニングしたアカウントは閉鎖することも、管理対象外のアカウントに変更することもできます。または、アカウントの E メールアドレスとユーザーパラメータを更新することで、他のワークロードや他のユーザーにアカウントを転用できます。更新手順に従って、アカウントの組織単位を変更できます。アカウントの管理解除について詳細は、「メンバーアカウントの管理解除」を参照してください。

Account Factory アカウントの更新

次の手順では、Account Factory アカウントを更新または移行する方法について説明します。

重要

アカウントの OU を移行するには、他のすべての更新を行う場合と同様に、この手順を使用します。

Account Factory アカウントを更新するには

  1. AWS マネジメントコンソールにサインインし、AWS シングルサインオン コンソール (https://console.aws.amazon.com/singlesignon/) を開きます。

    注記

    AWS Service Catalog で新しい製品をプロビジョニングするアクセス許可を持つユーザーとしてサインインする必要があります。たとえば、AWSAccountFactory グループか AWSServiceCatalogAdmins グループにいる AWS SSO ユーザーです。

  2. [Provision new account (新しいアカウントをプロビジョニングする)] を選択して AWS Service Catalog コンソールと Account Factory 製品を開きます。

  3. ナビゲーションペインで、[Provisioned products list (プロビジョニング済み製品リスト)] を選択します。

  4. 一覧表示されているアカウントごとに以下の手順を実行して、すべてのメンバーアカウントを更新します。

    1. アカウントのドロップダウンメニューから [プロビジョニングされた製品の詳細] を選択します。

    2. 以下のパラメータを書き留めます。

      • SSOUserEmail

      • AccountEmail

      • SSOUserFirstName

      • SSOUSerLastName

      • AccountName

    3. [アクション] で、[更新] を選択します。

    4. 更新する製品の [バージョン] の隣にあるボタンを選択して、[次へ] を選択します。

    5. 前に説明したパラメータ値を入力します。[ManagedOrganizationlUnit] で、既存のアカウントの OU を選択するか、新しい OU に移行するには、該当するアカウントで新しい OU を選択します。中央のクラウド管理者は、AWS Control Tower コンソールの [Accounts] でこの情報を見つけることができます。

    6. [次へ] を選択します。

    7. 変更内容を確認し、[更新] を選択します。このプロセスには、アカウントごとに数分かかることがあります。

Amazon Virtual Private Cloud 設定で Account Factory を設定する

Account Factory により、組織内のアカウントに対して、承認済みのベースラインと構成オプションを作成できます。AWS Service Catalog を通じて新しいアカウントを設定し、プロビジョニングできます。

Account Factory ページで、エンドユーザーが新しいアカウントをプロビジョニングするときに使用できる Amazon VPC 設定オプションを表示できます。組織単位 (OU) のリストとその許可リストのステータスが表示されます。デフォルトでは、すべての OU が許可リストに表示されます。つまり、アカウントは OU の下でプロビジョニングできます。AWS Service Catalog を介して、アカウントの特定の OU のプロビジョニングを無効にできます。

Account Factory で Amazon VPC 設定を構成するには

  1. 中央のクラウド管理者として、マスターアカウントの管理者権限で AWS Control Tower コンソールにサインインします。

  2. ダッシュボードの左側から [Account Factory] を選択し、 Account Factory ネットワーク設定ページに移動します。そこに、デフォルトのネットワーク設定が表示されます。編集するには、[Edit (編集)] を選択し、編集可能なバージョンの Account Factory ネットワーク設定を表示します。

  3. 必要に応じて、デフォルト設定の各フィールドを変更できます。エンドユーザーが作成できるすべての新しい Account Factory アカウントに指定する VPC 設定オプションを選択し、これらの設定をフィールドに入力します。

  • Amazon VPC でのパブリックサブネットの作成を無効にする場合は [disabled] を、有効にする場合は [enabled] を選択します。デフォルトでは、インターネットにアクセス可能なサブネットは許可されません。

  • リストから、Amazon VPC のプライベートサブネットの最大数を選択します。デフォルトでは、[1] が選択されています。許可されるプライベートサブネットの最大数は 2 です。

  • アカウントの VPC を作成するための IP アドレスの範囲を入力します。この値は、クラスレスドメイン間ルーティング (CIDR) ブロックの形式 (例: デフォルトは 172.31.0.0/16) であることが必要です。この CIDR ブロックは、アカウント用に Account Factory が作成する VPC の全範囲のサブネット IP アドレスを提供します。VPC 内では、サブネットは指定した範囲から自動的に割り当てられ、各サブネットは同じサイズになります。デフォルトでは、VPC 内のサブネットは重複しません。ただし、プロビジョニングされたすべてのアカウントの VPC 間ではサブネット IP アドレス範囲が重複する場合があります。

  • アカウントのプロビジョニング時に VPC を作成する 1 つのリージョンまたはすべてのリージョンを選択します。デフォルトでは、すべての使用可能なリージョンが選択されます。

  • リストから、各 VPC にサブネットを設定するアベイラビリティーゾーンの数を選択します。デフォルト値および推奨値は 3 です。

  • [Save] を選択します。

メンバーアカウントの管理解除

Landing Zone で今後 AWS Control Tower による管理を希望しないアカウントを Account Factory に作成した場合、アカウントの管理を解除できます。これは、AWSAccountFactory グループまたは AWSServiceCatalogAdmins グループにいる AWS SSO ユーザーにより、AWS Service Catalog コンソールで実行できます。AWS SSO ユーザーまたはグループの詳細については、「AWS シングルサインオン によるユーザーとアカウントの管理」を参照してください。メンバーアカウントの管理を解除する手順を以下に説明します。

メンバーアカウントの管理を停止するには

  1. ウェブブラウザで AWS Service Catalog コンソール (https://console.aws.amazon.com/servicecatalog) を開きます。

  2. 左のナビゲーションペインから [Provisioned products list (プロビジョニング済み製品リスト)] を選択します。

  3. プロビジョニングされるアカウントのリストから、今後 AWS Control Tower による管理を希望しないアカウントの名前を選択します。

  4. [プロビジョニングされた製品の詳細] ページの [アクション] メニューから、[終了] を選択します。

  5. 表示されるダイアログボックスで [TERMINATE] を選択します。

    重要

    terminate (終了) という単語は AWS Service Catalog に固有のものです。AWS Service Catalog で Account Factory アカウントを終了しても、アカウントは解約されません。このアクションにより、アカウントの OU および Landing Zone からアカウントが削除されます。

  6. [Deregistering Managed Account] メッセージが表示されます。

  7. 表示されたアカウントのステータスを更新するには、ページをリフレッシュします。アカウントが管理対象外になると、ステータスが [terminated] に変わります。

  8. 終了したアカウントが不要になった場合は、閉鎖します。AWS アカウントの閉鎖の詳細については、AWS Billing and Cost Management ユーザーガイドの「アカウントの解約」を参照してください。

注記

管理対象外の (終了した) アカウントは閉鎖または削除されません。アカウントが管理対象外になっても、Account Factory でアカウントを作成する際に選択した AWS SSO ユーザーは引き続きこのアカウントに対する管理者権限を保持します。このユーザーに管理者権限を持たせないようにするには、Account Factory でアカウントを更新し、このアカウントのAWS SSO ユーザー E メールアドレスを変更して、AWS SSO のこの設定を変更する必要があります。詳細については、「Account Factory アカウントの更新」を参照してください。

Account Factory で作成したアカウントの解約

Account Factory で作成されたアカウントは AWS アカウントです。AWS アカウントの解約について詳細は、『AWS Billing and Cost Management ユーザーガイド』の「アカウントの解約」を参照してください。

Account Factory の考慮事項

Account Factory を介して AWS Control Tower で作成されたアカウントは、親 OU のガードレールを継承します。AWS Control Tower の外部で作成されたアカウントはこれらのガードレールを継承しません。これらのアカウントは AWS Control Tower に表示されることもありません。

アカウントが Account Factory でプロビジョニングされる場合、以下の AWS リソースがアカウント内で作成されます。

AWS サービス リソースタイプ リソース名
AWS CloudFormation スタック

StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-*

StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*

StackSet-AWSControlTowerBP-BASELINE-CONFIG-*

StackSet-AWSControlTowerBP-BASELINE-ROLES-*

StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-*

AWS CloudTrail 証跡 aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch イベントルール aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch CloudWatch Logs

aws-controltower/CloudTrailLogs

/aws/lambda/aws-controltower-NotificationForwarder

AWS Identity and Access Management ロール

aws-controltower-AdministratorExecutionRole

aws-controltower-CloudWatchLogsRole

aws-controltower-ConfigRecorderRole

aws-controltower-ForwardSnsNotificationRole

aws-controltower-ReadOnlyExecutionRole

AWSControlTowerExecution

AWS Identity and Access Management ポリシー

AWSControlTowerServiceRolePolicy

Amazon Simple Notification Service トピック aws-controltower-SecurityNotifications
AWS Lambda アプリケーション StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*
AWS Lambda 関数 aws-controltower-NotificationForwarder

強く推奨されるガイダンスでガードレールを有効にすると、アカウント内で AWS Control Tower マネージド AWS リソースが作成されます。AWS Control Tower によって作成されたリソースを変更または削除しないでください。これにより、ガードレールの状態が不明になる可能性があります。詳細については、「ガードレールリファレンス」を参照してください。