Account Factory によるアカウントのプロビジョニングと管理 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Account Factory によるアカウントのプロビジョニングと管理

この章には、AWS Control Tower landing zone で新しいアカウントをプロビジョニングするための概要と手順が含まれています。AWS Control Tower には、メンバーアカウントを作成するための 3 つの方法があります。

  • Account Factory コンソールからAWS Service Catalog。

  • からアカウントを登録するAWS Control Tower 内で機能をダウンロードします。

  • AWS Control Tower ランディングゾーンの管理アカウントから Lambda コードと適切な IAM ロールを使用して作成する

アカウントをプロビジョニングするには、AccounAccount Factory を使用します。Account Factoryは、コンソールベースの製品。AWS Service Catalog。ランディングゾーンがドリフト状態でない場合は、[Enroll account (アカウントの登録)] を使用できます。また、IAM ロールと Lambda 関数を使用して、新しいアカウントをプログラムから設定することもできます。

適切なユーザーグループのアクセス許可があれば、組織内のすべてのアカウントに対して標準化されたベースラインとネットワーク構成を指定できます。

アカウントの設定とプロビジョニングのためのアクセス許可

AWS Control Tower アカウントファクトリーを使用すると、クラウド管理者とAWS Single Sign-Onエンドユーザーは、landing zone でアカウントをプロビジョニングできます。デフォルトでは、AWS SSOアカウントをプロビジョニングするユーザーは、AWSAccountFactoryグループまたは管理グループを選択します。

注記

組織全体で寛大なアクセス権限を持つアカウントを使用する場合と同様に、管理アカウントから作業するときは注意が必要です。

AWS Control Tower マネジメントアカウントには、AWSコントロール・エクセクションロールを使用して、一部の自動アカウント設定も含めて、管理アカウントからのアカウント設定が可能になります。[AWSControlTowerExecution] ロールの詳細については、「 AWS Control Tower がロールと連携してアカウントを作成および管理する方法 」を参照してください。

既存の AWS アカウントを AWS Control Tower に登録するには、そのアカウントでAWSコントロール・エクセクションロールが有効になります。既存のアカウントを登録する方法の詳細については、「既存の AWS アカウントを登録する」を参照してください。

個々のアカウントを作成または登録する

-アカウントを登録する機能は、landing zone に新しいアカウントをプロビジョニングしたり、AWS Control Tower によって管理されるように既存の AWS アカウントを登録したりするために、AWS Control Tower で利用できます。

[Enroll account (アカウントの登録)] 機能は、ランディングゾーンがドリフト状態でないときに使用できます。この機能を表示するには:

  • に移動します。Account FactoryAWS Control Tower のページを開きます。

  • ページの上部にある [Enroll account (アカウントの登録)] 項目を選択します。

  • [アカウントの作成] セクションが表示され、アカウントの E メールアカウント名SSO ユーザー名組織単位などの必須フィールドが入力できるようになります。

  • 情報を入力したら、[Enroll account (アカウントの登録)] を選択します。

アカウントの登録プロセスが正常に送信されたことを確認するフラッシュバーが表示されます。エラーが発生した場合、AWS Control Tower から修正を求められる場合があります。アカウントのプロビジョニングプロセスには数分かかる場合があります。

注記

既存の AWS アカウントを登録する場合は、既存の E メールアドレスを正しく入力してください。それ以外の場合は、新しいアカウントが作成されます。

特定のエラーが表示された場合、ページを更新してもう一度試す必要があります。ランディングゾーンがドリフト状態にある場合は、[Enroll account (アカウントの登録)] 機能を正常に使用できないことがあります。ランディングゾーンのドリフトが解決されるまで、AWS Service Catalog を使用して新しいアカウントをプロビジョニングする必要があります。

アカウントを登録するときは、AWSServiceCatalogEndUserFullAccess ポリシーが有効になっている IAM ユーザーのアカウントにサインインする必要があります。Root (ルート) としてサインインすることはできません。

登録するアカウントは、他のアカウントを更新する場合と同様に、AWS Service Catalog および AWS Control Tower アカウントファクトリーを使用して更新する必要があります。更新手順については、「AWS Service Catalog による Account Factory アカウントの更新と移行」セクションを参照してください。

AWS Service Catalog による Account Factory アカウントのプロビジョニング

以下の手順では、AWS Service Catalog を使用して、アカウントを AWS SSO エンドユーザーとしてプロビジョニングする方法について説明します。この手順は、アドバンストアカウントプロビジョニングとも呼ばれます。[] を使用することをお勧めします。アカウントを登録する[] を可能な限り有効にします。

Account Factory でエンドユーザーとしてアカウントをプロビジョニングするには

  1. ユーザーポータル URL からサインインします。

  2. [Your applications] から、[AWS Account] を選択します。

  3. アカウントのリストから、管理アカウントのアカウント ID を選択します。この ID には、[] などのラベルが付いている場合もあります。(マネジメント)

  4. [AWSServiceCatalogEndUserAccess] から [Management console] を選択します。これにより、このアカウントのこのユーザーの AWS Management Console が開きます。

  5. アカウントのプロビジョニングに正しい AWS リージョン (AWS Control Tower ホームリージョン) を選択していることを確認します。

  6. [Service Catalog] を検索して選択し、AWS Service Catalog コンソールを開きます。

  7. ナビゲーションペインで、[Products list] を選択します。

  8. [AWS Control Tower Account Factory] を選択してから、[起動] ボタンを選択します。この選択により、新しいアカウントをプロビジョニングするウィザードが開始されます。

  9. 情報を入力し、以下の点に注意してください。

    • [SSOUserEmail] は新しい E メールアドレスか既存の AWS SSO ユーザーに関連付けられた E メールアドレスのいずれかです。どちらを選択しても、このユーザーにはプロビジョニングするアカウントへの管理者アクセスが許可されます。

    • [AccountEmail] は、AWS アカウントにまだ関連付けられていない E メールアドレスであることが必要です。[SSOUserEmail] で新しい E メールアドレスを使用する場合は、ここでもそのアドレスを使用できます。

  10. 完了したら、[にアクセスするまで確認ページを開きます。[TagOptions] を定義しないでください。また、[Notifications] を有効にしないでください。これらの操作を行うと、アカウントのプロビジョニングに失敗する可能性があります。

  11. アカウント設定を確認し、[起動] を選択します。リソースプランを作成しないでください。この操作を行うと、アカウントのプロビジョニングに失敗します。

  12. これで、アカウントのプロビジョニングが開始されました。この処理には数分かかることがあります。ページをリフレッシュして表示されたステータス情報を更新できます。

    注記

    一度にプロビジョニングできるアカウントは 1 つだけです。

Account Factory アカウント管理に関するヒント

AWS Control Tower Account Factory を通じてプロビジョニングしたアカウントは、更新、クローズ、転用が可能です。たとえば、アカウントの E メールアドレスとユーザーパラメータを更新することで、他のワークロードや他のユーザーにアカウントを転用できます。

アカウントファクトリーによって発行されたアカウントに関連付けられたプロビジョニング済み製品を更新するときに、新しい SSO ユーザーの E メールアドレスを指定すると、AWS Control Tower によって新しい SSO ユーザーアカウントが作成されます。以前に作成したユーザーアカウントは削除されません。AWS SSO から以前の SSO ユーザーの E メールを削除する場合は、「ユーザーを無効にする」を参照してください。

Account Factory では、この章の手順に従って、アカウントの組織単位 (OU) を変更したり、アカウントの管理を解除したりすることもできます。アカウントの管理解除について詳細は、「メンバーアカウントの管理解除」を参照してください。特定の更新では、適切なアクセス許可を得るために、ユーザーまたは管理者がアカウントにルートユーザーとしてサインインする必要があります。

AWS Service Catalog による Account Factory アカウントの更新と移行

次の手順では、プロビジョニング済み製品を更新して、Account Factory アカウントを更新したり、新しい OU に移行したりする方法を示します。

Account Factory アカウントを更新したり、その OU を変更するには

  1. AWS マネジメントコンソールにサインインし、AWS Service Catalog コンソール () を開きます。https://console.aws.amazon.com/servicecatalog/

    注記

    新しい製品をプロビジョニングする権限を持つユーザーとしてサインインする必要があります。AWS Service Catalogである。たとえば、AWS SSOユーザーのAWSAccountFactoryまたはAWSServiceCatalogAdminsグループ.

  2. ナビゲーションペインで、[Provisioned products list (プロビジョニング済み製品リスト)] を選択します。

  3. 一覧表示されているアカウントごとに以下の手順を実行して、すべてのメンバーアカウントを更新します。

    1. アカウントのドロップダウンメニューから [プロビジョニングされた製品の詳細] を選択します。

    2. 以下のパラメータを書き留めます。

      • SSOUserEmail (プロビジョニングされた製品の詳細で利用可能)

      • AccountEmail (プロビジョニングされた製品の詳細で利用可能)

      • SSOUserFirstName (SSO で利用可能)

      • SSOUSerLastName (SSO で利用可能)

      • AccountName (SSO で利用可能)

    3. [アクション] で、[更新] を選択します。

    4. 更新する製品の [バージョン] の横にあるボタンを選択して、[次へ] を選択します。

    5. 前に説明したパラメータ値を入力します。

      • 既存の OU を保持する場合は、[ManagedOrganizationalUnit] で、アカウントが既に存在している OU を選択します。

      • アカウントを新しい OU に移行する場合は、[ManagedOrganizationalUnit] で、そのアカウントの新しい OU を選択します。

      中央クラウド管理者は、この情報を AWS Control Tower コンソールのアカウント

    6. [Next (次へ)] を選択します。

    7. 変更内容を確認し、[更新] を選択します。このプロセスには、アカウントごとに数分かかることがあります。

Amazon Virtual Private Cloud 設定によるAccount Factory 設定

Account Factory を使用すると、組織内のアカウントに対して、承認されたベースラインと構成オプションを作成できます。AWS Service Catalog を通じて新しいアカウントを設定し、プロビジョニングできます。

Account Factory ページで、組織単位 (OU) のリストとそのその許可リストstatus. デフォルトでは、すべての OU が許可リストに表示されます。つまり、アカウントは OU の下でプロビジョニングできます。AWS Service Catalog を介して、アカウントの特定の OU のプロビジョニングを無効にできます。

エンドユーザーが新しいアカウントをプロビジョニングするときに使用できる Amazon VPC 設定オプションを表示できます。

Account Factory で Amazon VPC 設定を設定するには

  1. 中央のクラウド管理者として、管理アカウントの管理者権限でコンソールにサインインします。

  2. ダッシュボードの左側から、Account Factoryをクリックして、Account Factory ネットワーク設定ページに移動します。そこに、デフォルトのネットワーク設定が表示されます。編集するには、編集Account Factory ネットワーク設定の編集可能なバージョンを表示します。

  3. 必要に応じて、デフォルト設定の各フィールドを変更できます。エンドユーザーが作成できるすべての新しい Account Factory アカウントに指定する VPC 設定オプションを選択し、該当する設定をフィールドに入力します。

  • 選択を無効にするまたはenabledをクリックして、Amazon VPC にパブリックサブネットを作成します。デフォルトでは、インターネットにアクセス可能なサブネットは許可されません。

    注記

    新しいアカウントをプロビジョニングするときにパブリックサブネットが有効になるように Account Factory の VPC 設定を定義すると、Account Factory によって Amazon VPC が設定されて、NAT ゲートウェイが作成されます。料金は Amazon VPC による使用量に対して請求されます。詳細については、「VPC 料金表」を参照してください。

  • リストから Amazon VPC 内のプライベートサブネットの最大数を選択します。デフォルトでは、[1] が選択されています。許可されるプライベートサブネットの最大数は 2 です。

  • アカウントの VPC を作成するための IP アドレスの範囲を入力します。この値は、クラスレスドメイン間ルーティング (CIDR) ブロックの形式 (例: デフォルトは 172.31.0.0/16) であることが必要です。この CIDR ブロックは、Account Factory がアカウント用に作成する VPC の全範囲のサブネット IP アドレスを提供します。VPC 内では、サブネットは指定した範囲から自動的に割り当てられ、各サブネットは同じサイズになります。デフォルトでは、VPC 内のサブネットは重複しません。ただし、プロビジョニングされたすべてのアカウントの VPC 間ではサブネット IP アドレス範囲が重複する場合があります。

  • アカウントのプロビジョニング時に VPC を作成する 1 つのリージョンまたはすべてのリージョンを選択します。デフォルトでは、すべての使用可能なリージョンが選択されます。

  • リストから、各 VPC にサブネットを設定するアベイラビリティーゾーンの数を選択します。デフォルト値および推奨値は 3 です。

  • [Save] を選択します。

これらの設定オプションを設定して、VPC を含まない新しいアカウントを作成できます。詳しくは「チュートリアル」を参照してください。

メンバーアカウントの管理解除

Account Factory で、landing zone で AWS Control Tower による管理を希望しないアカウントを作成した場合、アカウントの管理を解除できます。これは、[AWS Service CatalogコンソールでAWS SSOユーザーのAWSAccountFactoryグループ. AWS SSO ユーザーまたはグループの詳細については、「AWS Single Sign-On によるユーザーとアカウントの管理」を参照してください。メンバーアカウントの管理を解除する手順を以下に説明します。

メンバーアカウントの管理を停止するには

  1. ウェブブラウザで AWS Service Catalog コンソール (https://console.aws.amazon.com/servicecatalog) を開きます。

  2. 左のナビゲーションペインから [Provisioned products list (プロビジョニング済み製品リスト)] を選択します。

  3. プロビジョニングされるアカウントのリストから、AWS Control Tower で今後管理しないアカウントの名前を選択します。

  4. [プロビジョニングされた製品の詳細] ページの [アクション] メニューから、[終了] を選択します。

  5. 表示されるダイアログボックスで [終了] を選択します。

    重要

    terminate (終了) という単語は AWS Service Catalog に固有のものです。Account Factory アカウントをAWS Service Catalogアカウントは解約されません。この操作により、アカウントの OU とlanding zone からアカウントが削除されます。

  6. [Deregistering Managed Account] メッセージが表示されます。

  7. 表示されたアカウントのステータスを更新するには、ページをリフレッシュします。アカウントが管理対象外になると、ステータスが [terminated] に変わります。

  8. 終了したアカウントが不要になった場合は、閉鎖します。AWS アカウントの解約の詳細については、「」を参照してください。アカウントの解約AWS Billing and Cost Managementユーザーガイド

注記

管理対象外の (終了した) アカウントは閉鎖または削除されません。アカウントが管理対象外になると、AWS SSOAccount Factory でアカウントを作成する際に選択したユーザーは、引き続きこのアカウントに対する管理者権限を持ちます。このユーザーに管理者権限を持たせないようにするには、[] でこの設定を変更する必要があります。AWS SSOAccount Factory でアカウントを更新し、AWS SSOアカウントのユーザー E メールアドレス。詳細については、「AWS Service Catalog による Account Factory アカウントの更新と移行」を参照してください。

AWS を参照してください。YouTube 動画で、AWS Control Tower でアカウントを削除して閉じる方法を説明しています。

Account Factoryで作成されたアカウントの解約

Account Factory で作成されたアカウントは AWS アカウントです。AWS アカウントの解約の詳細については、「」を参照してください。アカウントの解約AWS Billing and Cost Managementユーザーガイド

注記

AWS アカウントを閉じることは、AWS Control Tower からアカウントを管理解除することとは異なります。これらは個別のアクションです。アカウントを閉じる前に、アカウントを管理解除する必要があります。

Account Factory に関するリソースに関する考慮事項

Account Factory でアカウントがプロビジョニングされる場合、以下の AWS リソースがアカウント内で作成されます。

AWS のサービス リソースタイプ リソース名
AWS CloudFormation スタック

StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-*

StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*

StackSet-AWSControlTowerBP-BASELINE-CONFIG-*

StackSet-AWSControlTowerBP-BASELINE-ROLES-*

StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-*

AWS CloudTrail 証跡 aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch イベントルール aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch [CloudWatch Logs]

aws-controltower/CloudTrailLogs

/aws/lambda/aws-controltower-NotificationForwarder

AWS Identity and Access Management ロール

aws-controltower-AdministratorExecutionRole

aws-controltower-CloudWatchLogsRole

aws-controltower-ConfigRecorderRole

aws-controltower-ForwardSnsNotificationRole

aws-controltower-ReadOnlyExecutionRole

AWSControlTowerExecution

AWS Identity and Access Management ポリシー

AWSControlTowerServiceRolePolicy

Amazon Simple Notification Service トピック aws-controltower-SecurityNotifications
AWS Lambda アプリケーション StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*
AWS Lambda 関数 aws-controltower-NotificationForwarder