Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

アカウントのカスタマイズ

PDF
RSS
フォーカスモード
アカウントのカスタマイズ - AWS Control Tower
概要カスタマイズの前提条件グローバルカスタマイズの適用アカウントカスタマイズの適用カスタマイズの再呼び出しAFT アカウントカスタマイズリクエストの追跡によるトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AFT は、プロビジョニングされたアカウントに標準の設定またはカスタマイズされた設定をデプロイできます。AFT 管理アカウントでは、AFT はアカウントごとに 1 つのパイプラインを提供します。このパイプラインを使用すると、すべてのアカウント、一組のアカウント、または個々のアカウントにカスタマイズを実装できます。Python スクリプト、bash スクリプト、および Terraform 設定を実行したり、アカウントカスタマイズステージの一部として AWS CLI を操作したりできます。

概要

選択した git リポジトリでカスタマイズを指定した後、グローバルカスタマイズを保存する場所またはアカウントカスタマイズを保存する場所のいずれかで、アカウントカスタマイズステージが AFT パイプラインによって自動的に完了します。アカウントを遡及的にカスタマイズするには、「カスタマイズの再呼び出し」を参照してください。

グローバルカスタマイズ (オプション)

AFT によってプロビジョニングされているすべてのアカウントに特定のカスタマイズを適用することもできます。例えば、特定の IAM ロールを作成する必要がある場合やすべてのアカウントにカスタムコントロールをデプロイする必要がある場合、AFT パイプラインのグローバルカスタマイズステージでその操作を自動的に行うことができます。

アカウントカスタマイズ (オプション)

AFT でプロビジョニングされた他のアカウントとは異なる個別のアカウント、または一組のアカウントをカスタマイズするには、AFT パイプラインのアカウントカスタマイズ部分を使用して、アカウント固有の設定を実装します。例えば、特定のアカウントでのみ、インターネットゲートウェイへのアクセスが必要になる場合があります。

カスタマイズの前提条件

アカウントのカスタマイズを開始する前に、次の前提条件が満たされていることを確認してください。

  • AFT が完全にデプロイされていること。デプロイ方法については、「AWS Control Tower Account Factory for Terraform を設定して起動する」を参照してください。

  • 環境内のグローバルカスタマイズおよびアカウントカスタマイズ用の git リポジトリに必要な情報が事前入力されていること。詳細については、「デプロイ後のステップ」の「ステップ 3: (必須) 各リポジトリを設定する」を参照してください。

グローバルカスタマイズの適用

グローバルカスタマイズを適用するには、選択したリポジトリに特定のフォルダ構造をプッシュする必要があります。

  • カスタム設定が Python プログラムまたはスクリプトの形式である場合は、それらをリポジトリ内の [api_helpers/python] フォルダに配置します。

  • カスタム設定が Bash スクリプトの形式である場合は、それらをリポジトリ内の [api_helpers] フォルダに配置します。

  • カスタム設定が Terraform の形式である場合は、それらをリポジトリ内の [terraform] フォルダに配置します。

  • カスタム設定の作成の詳細については、グローバルカスタマイズの README ファイルを参照してください。

注記

グローバルカスタマイズは、AFT パイプラインの AFT アカウントプロビジョニングフレームワークステージの後で自動的に適用されます。

アカウントカスタマイズの適用

選択したリポジトリに特定のフォルダ構造をプッシュすると、アカウントカスタマイズを適用できます。アカウントカスタマイズは、AFT パイプラインのグローバルカスタマイズステージの後で自動的に適用されます。アカウントカスタマイズリポジトリに、さまざまなアカウントカスタマイズを含む複数のフォルダーを作成することもできます。必要なアカウントカスタマイズの実装ごとに、以下のステップを使用します。

アカウントカスタマイズを適用するには

  1. ステップ 1: アカウントカスタマイズ用のフォルダを作成する

    選択したリポジトリで、AFT が提供する ACCOUNT_TEMPLATE フォルダーを新しいフォルダーにコピーします。新しいフォルダの名前は、アカウントリクエストで指定した account_customizations_name と一致する必要があります。

  2. 特定のアカウントカスタマイズフォルダの設定を追加する

    設定の形式に基づいて、アカウントカスタマイズフォルダーに設定を追加できます。

    • カスタム設定が Python プログラムまたはスクリプトの形式である場合は、リポジトリ内にある [account_customizations_name]/api_helpers/python フォルダに配置します。

    • カスタム設定が Bash スクリプトの形式である場合は、それらをリポジトリ内にある [account_customizations_name]/api_helpers フォルダに配置します。

    • カスタム設定が Terraform の形式である場合は、それらをリポジトリ内の [account_customizations_name]/terraform フォルダに配置します。

    カスタム設定の作成の詳細については、アカウントカスタマイズの README ファイルを参照してください。

  3. アカウントリクエストファイルの特定の account_customizations_name パラメータを参照する

    AFT アカウントリクエストファイルには、入力パラメータ account_customizations_name が含まれています。このパラメータの値として、アカウントカスタマイズの名前を入力します。

注記

環境内のアカウントに対して複数のアカウントリクエストを送信できます。異なるまたは類似のアカウントカスタマイズを適用する場合は、アカウントリクエストの account_customizations_name 入力パラメータを使用してアカウントのカスタマイズを指定します。詳細については、「複数のアカウントリクエストを送信する」を参照してください。

カスタマイズの再呼び出し

AFT には、AFT パイプラインでカスタマイズを再呼び出しする方法が用意されています。この方法は、新しいカスタマイズステップを追加した場合や、既存のカスタマイズを変更する場合に便利です。再呼び出しすると、AFT によってカスタマイズパイプラインが開始されて、AFT でプロビジョニングされたアカウントに変更が加えられます。イベントソースベースの再呼び出しを使用すると、個々のアカウント、すべてのアカウント、OU に応じたアカウント、またはタグに従って選択されたアカウントにカスタマイズを適用できます。

AFT でプロビジョニングされたアカウントのカスタマイズを再呼び出しするには、次の 3 つのステップに従います。

ステップ 1: グローバルカスタマイズまたはアカウントカスタマイズの git リポジトリに変更をプッシュする

必要に応じてグローバルカスタマイズおよびアカウントカスタマイズを更新し、変更を git リポジトリに再度プッシュします。この時点では何も起こりません。次の 2 つのステップで説明するように、イベントソースによってカスタマイズパイプラインを呼び出す必要があります。

ステップ 2: カスタマイズを再呼び出しするための AWS Step Functions の実行を開始する

AFT では、AFT 管理アカウントに aft-invoke-customizations という AWS Step Functions が用意されています。この関数の目的は、AFT でプロビジョニングされたアカウントのカスタマイズパイプラインを再呼び出しすることです。

次に、aft-invoke-customizations AWS Step Functions に入力を渡すために作成できるイベントスキーマ (JSON 形式) の例を示します。


{
  "include": [
    {
      "type": "all"
    },
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ],

  "exclude": [
    {
      "type": "ous",
      "target_value": [ "ou1","ou2"]
    },
    {
      "type": "tags",
      "target_value": [ {"key1": "value1"}, {"key2": "value2"}]
    },
    {
      "type": "accounts",
      "target_value": [ "acc1_ID","acc2_ID"]
    }
  ]
}

このイベントスキーマの例に示すように、再呼び出しプロセスに対して含めたり除外したりするアカウントを選択できます。組織単位 (OU)、アカウントタグ、およびアカウント ID でフィルタリングできます。フィルターを適用せず、ステートメント "type":"all" を含めた場合は、AFT でプロビジョニングされたすべてのアカウントのカスタマイズが再呼び出しされます。

注記

AWS Control Tower Account Factory for Terraform (AFT) のバージョンが 1.6.5 以降の場合は、ネストされた OU を構文 OU Name (ou-id-1234) を使用してターゲットにできます。詳細については、次の GitHub に関するトピックを参照してください。

イベントパラメータを入力すると、Step Functions が実行され、対応するカスタマイズが呼び出されます。AFT では、一度に最大 5 つのカスタマイズを呼び出すことができます。Step Functions は、イベント条件に一致するすべてのアカウントが完了するまで待機してループします。

ステップ 3: AWS Step Functions の出力をモニタリングし、AWS CodePipeline の実行を監視する

  • Step Functions で生成される出力には、Step Functions 入力イベントソースと一致するアカウント ID が含まれています。

  • [Developer Tools] (開発者用ツール) の下にある AWS CodePipeline に移動して、アカウント ID に対応するカスタマイズパイプラインを表示します。

AFT アカウントカスタマイズリクエストの追跡によるトラブルシューティング

AWS Lambda に基づいてアカウントカスタマイズワークフローが出力するログには、ターゲットアカウント ID とカスタマイズリクエスト ID が含まれます。AFT では、カスタマイズリクエストに関連する CloudWatch Logs をターゲットアカウントまたはカスタマイズリクエスト ID でフィルタリングするために使用できる CloudWatch Logs Insights クエリを提供することで、Amazon CloudWatch Logs によるカスタマイズリクエストの追跡とトラブルシューティングを行うことができます。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「Amazon CloudWatch Logs を使用したログデータの分析」を参照してください。

AFT で CloudWatch Logs Insights を使用するには

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで、[ログ][ログのインサイト] の順に選択します。

  3. [クエリ] を選択します。

  4. [サンプルクエリ][Account Factory for Terraform] を選択し、次のクエリのいずれかを選択します。

    • アカウント ID 別のカスタマイズログ

      注記

      必ず "YOUR-ACCOUNT-ID" をターゲットアカウント ID に置き換えてください。

      fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.account_id == "YOUR-ACCOUNT-ID" and @message like /customization_request_id/

    • カスタマイズリクエスト ID 別のカスタマイズログ

      注記

      必ず "YOUR-CUSTOMIZATION-REQUEST-ID" をカスタマイズリクエスト ID に置き換えてください。カスタマイズリクエスト ID は、AFT アカウントプロビジョニングフレームワーク AWS Step Functions ステートマシンの出力にあります。AFT アカウントプロビジョニングフレームワークの詳細については、「AFT アカウントプロビジョニングパイプライン」を参照してください。

      fields @timestamp, log_message.account_id as target_account_id, log_message.customization_request_id as customization_request_id, log_message.detail as detail, @logStream
| sort @timestamp desc
| filter log_message.customization_request_id == "YOUR-CUSTOMIZATION-REQUEST-ID"

  5. クエリを選択したら、必ず時間間隔を選択し、[クエリの実行] を選択します。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.