既存の AWS アカウントを登録する - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

既存の AWS アカウントを登録する

AWS Control Tower のガバナンスを個々の既存の AWS アカウントに拡張できます。登録するすでに AWS Control Tower に管理されている組織単位 (OU) に変換します。適格なアカウントは同じ OU の一部である未登録の OUAWS Organizations組織を AWS Control Tower OU として使用します。

トラステッドアクセスを最初にセットアップする

既存の AWS アカウントを AWS Control Tower に登録する前に、AWS Control Tower が管理する権限を付与する必要があります。統治するアカウント。具体的には、AWS Control Tower には、AWS CloudFormation とAWS Organizationsをお客様に代わって実行します。これにより、AWS CloudFormation は、選択された組織のアカウントにスタックを自動的にデプロイできるようになります。

信頼されたアクセスと AWS CloudFormation StackSets の詳細については、「AWS CloudFormation StackSets と AWS Organizations」を参照してください。信頼されたアクセスが有効になっている場合、AWS CloudFormation は、1 回のオペレーションで、複数のアカウントと AWS リージョンにわたってスタックを作成、更新、または削除できます。AWS Control Tower はこの信頼機能に依存しているため、既存のアカウントにロールとアクセス許可を適用してから、それらを登録済み組織単位に移動して、ガバナンス下に置くことができます。

アカウント登録中の処理

登録プロセス中に、AWS Control Tower は次のアクションを実行します。

  • アカウントのベースラインを作成します。これには、以下のスタックセットのデプロイが含まれます。

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    これらのスタックセットのテンプレートで既存のポリシーとの競合がないことを確認することをお勧めします。

  • AWS Single Sign-On または AWS Organizations を通じてアカウントを識別します。

  • 指定した OU にアカウントを配置します。現在の OU に適用されているすべての SCP を適用して、セキュリティ体制の整合性を保ってください。

  • 選択した OU 全体に適用される SCP を使用して、必須のガードレールをアカウントに適用します。

  • アカウントに AWS Control Tower 探偵ガードレールを適用する AWS Config ルールを追加します。

注記

アカウントを AWS Control Tower に登録すると、アカウントは新しい組織の AWS CloudTrail トレイルによって管理されます。CloudTrail 証跡の既存のデプロイがある場合、AWS Control Tower に登録する前にアカウントの既存の証跡を削除しない限り、料金が重複することがあります。

VPC を使用した既存のアカウントの登録

AWS Control Tower は、Account Factory で新しいアカウントをプロビジョニングするときに、既存のアカウントを登録するときとは異なる方法で VPC を処理します。

  • 新しいアカウントを作成すると、AWS Control Tower は自動的に削除され、そのアカウントの新しい VPC が作成されます。

  • 既存のアカウントを登録しても、AWS Control Tower はそのアカウントの新しい VPC を作成しません。

  • 既存のアカウントを登録しても、AWS Control Tower は、そのアカウントに関連付けられた既存の VPC または AWS デフォルト VPC を削除しません。

推奨: アカウントの登録に 2 段階のアプローチを設定する

  • まず、AWS Config を使用しますコンフォーマンスパックを使用して、一部の AWS Control Tower ガードレールによるアカウントへの影響を評価します。AWS Control Tower への登録がアカウントに与える影響を確認するには、」AWS Config コンフォーマンスパックを使用した AWS Control Tower のガバナンスの拡張

  • 次に、アカウントを登録できます。コンプライアンスの結果が満足のいくものであれば、予期しない結果を招くことなくアカウントを登録できるため、移行パスが簡単になります。

  • 評価が完了した後、AWS Control Tower landing zone を設定する場合は、評価用に作成された AWS Config 配信チャネルおよび設定レコーダーを削除する必要があります。そうすれば、AWS Control Tower を正常にセットアップできるようになります。

注記

Conformance Pack は、AWS Control Tower に登録済みの OU にアカウントがある状況でも機能しますが、ワークロードは AWS Control Tower のサポートがない AWS リージョン内で実行されます。Conformance Pack を使用して、AWS Control Tower がデプロイされていないリージョンに存在するアカウントのリソースを管理できます。

登録の前提条件

AWS Control Tower にアカウントを登録する前に、次の前提条件が必要です。

  1. アカウントに AWS Config 設定レコーダーまたは配信チャネルがあってはなりません。アカウントを登録する前に、AWS CLI を使用してこれらを削除する必要があります。それ以外の場合、登録は失敗します。

  2. 登録するアカウントは、同じAWS Organizations組織を AWS Control Tower 管理アカウントとして作成します。既存のアカウントを登録できますのみを、すでに AWS Control Tower に登録されている OU 内の AWS Control Tower 管理アカウントと同じ組織にコピーします。

  3. 既存のアカウントを AWS Control Tower に登録する前に、アカウントに以下のロール、アクセス許可、信頼関係が設定されている必要があります。それ以外の場合、登録は失敗します。

    ロール名: AWSControlTowerExecution

    ロールのアクセス許可:AdministratorAccess (AWS 管理ポリシー)

    ロールの信頼関係:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }

登録に関するその他の前提条件を確認するには、」AWS Control Tower の使用開始

注記

アカウントを AWS Control Tower に登録すると、アカウントは AWS Control Tower 組織の AWS CloudTrail トレイルによって管理されます。CloudTrail 証跡の既存のデプロイがある場合、AWS Control Tower に登録する前にアカウントの既存の証跡を削除しない限り、料金が重複することがあります。

[AdministratorAccess] アクセス許可が既存のアカウントに設定されたら、以下の手順に従ってアカウントを登録します。

AWS Control Tower に個々のアカウントを登録するには

  • AWS Control Tower Account Factory ページに移動し、[アカウントの登録

  • AWS Control Tower に登録する既存のアカウントの現在の E メールアドレスを指定します。

  • アカウント所有者の姓名を指定します。

  • アカウントを登録する組織単位 (OU) を指定します。

  • [Enroll account (アカウントの登録)] を選択します。

登録の失敗の一般的な原因

  • IAM プリンシパルに、アカウントをプロビジョニングするアクセス許可がない可能性があります。既存のアカウントを登録するには、登録するアカウントに AWSControlTowerExecution ロールが存在する必要があります。

  • AWS Security Token Service (AWS STS) は、ホームリージョンの AWS アカウントまたは AWS Control Tower でサポートされているリージョンで無効になっています。

  • AWS Service Catalog の Account Factory ポートフォリオに追加する必要があるアカウントにサインインしている場合があります。アカウントファクトリーにアクセスする前に、アカウントを追加する必要があります。これにより、AWS Control Tower にアカウントを作成または登録できるようになります。適切なユーザーまたはロールがAccount Factory ポートフォリオに追加されていない場合、アカウントを追加しようとするとエラーが発生します。

  • root としてサインインしている可能性があります。

  • 登録しようとしているアカウントに、AWS Config の設定が残っている可能性があります。特に、アカウントに設定レコーダーや配信チャネルがあってはならないため、アカウントを登録する前に、AWS CLI を使用してこれらを削除する必要があります。

  • アカウントが別の AWS Control Tower OU を含む管理アカウントを持つ別の OU に属している場合は、別の OU に参加する前に、現在の OU のアカウントを終了する必要があります。既存のリソースは、元の OU から削除する必要があります。それ以外の場合、登録は失敗します。

新しいアカウントを作成するとき、または既存のアカウントを登録するときに、AWS Control Tower がロールをどのように使用するかの詳細については、」AWS Control Tower がロールと連携してアカウントを作成および管理する方法

アカウントが前提条件を満たしていない場合はどうなりますか?

アカウント登録の前提条件を満たすために、以下の準備手順に従って、アカウントを AWS Control Tower と同じ組織に移動できます。

AWS Control Tower と同じ組織にアカウントを持ち込むための準備手順

  1. 既存の組織からアカウントを削除します。(この方法を使用する場合は、別の支払い方法を指定する必要があります)。

  2. アカウントを AWS Control Tower 組織に招待します。

  3. 招待を受け入れます。(アカウントは組織のルートに表示されます)。このステップでは、アカウントを AWS Control Tower と同じ組織に移動します。これは、SCPと一括請求を確立します。

  4. 次に、残りの登録の前提条件を満たす必要があります。

    • 必要なロールを作成します。

    • デフォルト VPC をクリアします。(この部分はオプションです。AWS コントロールタワーは、既存のデフォルト VPC を変更しません)。

    • AWS Config 設定レコーダーまたは配信チャネルが存在する場合は、CLI を使用して削除します。

    • 必要に応じて、その他の前提条件。

  5. アカウントを AWS Control Tower に登録します。このステップにより、アカウントは AWS Control Tower の完全なガバナンスに反映されます。

以下に、設定レコーダーと配信チャネルのステータスを確認するために使用できる AWS Config CLI コマンドの例を示します。

表示コマンド:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

削除コマンド:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

注記

アカウントが古い組織から削除される前に、新しい組織への招待を送信できます。招待は、アカウントが既存の組織から脱落したときに待機します。

アカウントのプロビジョニングを解除して登録できるようにするためのオプションの手順

  1. 必要に応じて、適用された CFN を保持するには、スタックセットからスタックインスタンスを削除し、スタックの保持インスタンスの 1 つです。

  2. AWS Service Catalog アカウントファクトリーでプロビジョニングされたアカウントを終了します。(このステップでは、AWS Control Tower からプロビジョニングされた製品のみが削除され、実際にはアカウントは削除されません)。

  3. 必要に応じて、組織に属していないアカウントに対して必要な請求詳細を使用してアカウントを設定し、そのアカウントを組織から削除します。これは、アカウントが AWS Organizations クォータの合計に対してカウントされないようにします。

  4. リソースが残っている場合はアカウントをクリーンアップし、アカウントを閉じる。メンバーアカウントの管理解除

  5. あなたが持っている場合を停止するガードレールが定義された OU の場合、手順 1 を実行する代わりにアカウントを移動できます。

既存の AWS アカウントに必要な IAM ロールを手動で追加して登録する

AWS Control Tower のlanding zone をすでに設定している場合は、AWS Control Tower に登録された OU に組織のアカウントを登録できます。landing zone を設定していない場合は、AWS Control Tower ユーザーガイド(はじめに、ステップ 2。landing zone 準備が完了したら、次の手順を実行して、既存のアカウントを AWS Control Tower によるガバナンスに手動で移行します。

この章で前述した前提条件を確認してください。

AWS Control Tower にアカウントを登録する前に、そのアカウントを管理する権限を AWS Control Tower に付与する必要があります。そのためには、次の手順に示すように、アカウントへのフルアクセス権を持つロールを追加します。これらのステップは、登録するアカウントごとに実行する必要があります。

各アカウントについて:

ステップ 1: 登録するアカウントが現在含まれている組織の管理アカウントへの管理者アクセスでサインインします。

たとえば、AWS Organizations からこのアカウントを作成し、クロスアカウント IAM ロールを使用してサインインした場合、以下の手順に従います。

  1. 組織の管理アカウントにサインインします。

  2. 参照先AWS Organizations

  3. []アカウント] で、登録するアカウントを選択し、アカウント ID をコピーします。

  4. 上部のナビゲーションバーのアカウントのドロップダウンメニューを開き、ロールの切り替え

  5. リポジトリの []役割の切り替えフォームで、以下のフィールドに入力します。

    • []アカウントに、コピーしたアカウント ID を入力します。

    • []ロール[] に、このアカウントへのクロスアカウントアクセスを有効にする IAM ロールの名前を入力します。このロールの名前は、アカウントの作成時に定義されています。アカウントの作成時にロール名を指定していない場合は、デフォルトのロール名 (OrganizationAccountAccessRole

  6. [Switch Role] を選択します。

  7. これで、子アカウントとして AWS マネジメントコンソールにサインインします。

  8. 完了したら、手順の次の部分のために子供用アカウントに留まります。

  9. 次の手順で入力する必要があるため、管理アカウント ID を書きとめておきます。

ステップ 2: アカウントを管理する権限を AWS Control Tower に付与します。

  1. 参照先IAM

  2. 参照先ロール

  3. [Create role] を選択します。

  4. ロールの対象となるサービスを選択するように求められたら、EC2を選択し、次へ:アクセス許可。これは、後で「AWS Control Tower」に変更します。

  5. ポリシーをアタッチするよう求められたら、AdministratorAccess

  6. [Next:Tags (次へ: タグ)] を選択します。

  7. というオプションの画面が表示されることがあります。タグを追加する。この画面をスキップするには、次へ:確認

  8. リポジトリの []確認画面のロール名フィールドに [] と入力します。AWSControlTowerExecution

  9. 短い説明を [] に入力します。説明ボックス (登録のフルアカウントアクセスを許可します。

  10. [Create role] を選択します。

  11. 先ほど作成したロールに移動します。選択ロール左側にある。選択 AWSControlTowerExecution.

  12. []信頼関係] で、信頼関係の編集

  13. ここに示したコード例をコピーして、ポリシードキュメントに貼り付けます。文字列を置換するManagement Account IDは、管理アカウントの実際の管理アカウント ID に置き換えます。ここに貼り付けるポリシーがあります:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }

ステップ 3: アカウントを登録済みの OU に移動して登録し、登録を確認します。

ロールを作成して必要なアクセス許可を設定したら、次の手順に従ってアカウントを登録し、登録を確認します。

  1. Admin として再度サインインし、AWS Control Tower にアクセスします。

  2. アカウントを登録します。

    • AWS Control Tower のAccount Factory ページから、アカウントの登録。必須フィールドに入力します。先ほど更新したアカウントに関連付けられている E メールアドレスを入力します。

      • AWS Control Tower に登録する既存のアカウントの現在の E メールアドレスを指定します。

      • アカウント所有者の姓名を指定します。

      • アカウントを登録する組織単位 (OU) を指定します。

    • [Enroll account (アカウントの登録)] を選択します。

  3. 登録を確認します。

    • AWS Control Tower から、アカウント

    • 最近登録したアカウントを探します。その初期状態は登録する

    • [] の状態が [] に変わったら登録済み、移動が成功しました。

このプロセスを続行するには、AWS Control Tower に登録する組織内の各アカウントにサインインします。各アカウントについて、前提条件の手順と登録手順を繰り返します。

AWS Organizations アカウントの自動登録

というブログ投稿に記載されている登録方法を使用できます。既存の AWS アカウントを AWS Control Tower に登録するを登録するにはAWS Organizationsアカウントを AWS Control Tower にプログラムプロセスで送信します。