既存の AWS アカウントを登録する - AWS Control Tower

既存の AWS アカウントを登録する

AWS Control Tower ガバナンスを AWS Control Tower によって既に管理されている組織単位 (OU) に登録すると、ガバナンスを個々の既存の AWS アカウントに拡張できます。AWS Control Tower OU と同じ AWS Organizations 組織の一部である未登録の OU に存在するアカウントが対象となります。

注記

ランディングゾーンの初期セットアップ時を除き、既存のアカウントを監査アカウントまたはログアーカイブアカウントとして登録することはできません。

信頼されたアクセスを最初にセットアップする

既存の AWS アカウントを AWS Control Tower に登録する前に、アカウントを管理(ガバナンス)する許可を AWS Control Tower に付与する必要があります。具体的には AWS Control Tower に、AWS CloudFormation と AWS Organizations との間に信頼されたアクセスを確立するアクセス許可が必要です。これにより、AWS CloudFormation は、選択された組織のアカウントにスタックを自動的にデプロイできるようになります。この信頼されたアクセスでは、AWSControlTowerExecution ロールは、各アカウントを管理するために必要なアクティビティを実行します。そのため、登録する前にこのロールを各アカウントに追加する必要があります。

信頼されたアクセスが有効になっている場合、AWS CloudFormation は、1 回のオペレーションで、複数のアカウントと AWS リージョンにまたがるスタックを作成、更新、または削除できます。AWS Control Tower はこの信頼機能を使用して既存のアカウントにロールとアクセス許可を適用します。その後、それらを登録済み組織単位に移動して、管理下に置くことができます。

信頼されたアクセスと AWS CloudFormation StackSets の詳細については、「AWS CloudFormation StackSets と AWS Organizations」を参照してください。

アカウント登録中の処理

登録プロセス中に、AWS Control Tower は以下のアクションを実行します。

  • アカウントのベースラインを作成します。これには、以下のスタックセットのデプロイが含まれます。

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    これらのスタックセットのテンプレートで既存のポリシーとの競合がないことを確認することをお勧めします。

  • AWS IAM Identity Center (successor to AWS Single Sign-On) または AWS Organizations を通じてアカウントを識別します。

  • 指定した OU にアカウントを配置します。現在の OU に適用されているすべての SCP を適用して、セキュリティ体制の整合性を保ってください。

  • 選択した OU 全体に適用される SCP を使用して、必須のガードレールをアカウントに適用します。

  • AWS Config を有効にし、アカウントのすべてのリソースを記録するように設定します。

  • アカウントに AWS Control Tower の検出ガードレールを適用する AWS Config ルールを追加します。

注記

AWS Control Tower にアカウントを登録すると、そのアカウントは新しい組織の AWS CloudTrail 追跡によって管理されます。CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。

VPC を使用した既存のアカウントの登録

AWS Control Tower は、Account Factory で新しいアカウントをプロビジョニングするときに、既存のアカウントを登録するときとは異なる方法で VPC を処理します。

  • 新しいアカウントを作成すると、AWS Control Tower は自動的に AWS のデフォルト VPC を削除し、そのアカウントの新しい VPC を作成します。

  • 既存のアカウントを登録する場合、AWS Control Tower はそのアカウントの新しい VPC を作成しません。

  • 既存のアカウントを登録すると、AWS Control Tower はそのアカウントに関連付けられている既存の VPC または AWS のデフォルト VPC を削除しません。

ヒント

Account Factory を設定して新規アカウントに対するデフォルトの動作を変更でき、AWS Control Tower の組織内のアカウントに対して VPC がデフォルトで設定されないようにできます。詳細については、「AWS Control Tower で VPC なしのアカウントを作成する」を参照してください。

アカウントが前提条件を満たしていない場合

前提条件として、AWS Control Tower ガバナンスに登録できるアカウントは、同じ組織全体に属している必要があります。アカウント登録の前提条件を満たすには、以下の準備のステップに従って、AWS Control Tower と同じ組織にアカウントを移動できます。

AWS Control Tower と同じ組織にアカウントを移動するための準備のステップ

  1. 既存の組織からアカウントを削除します (このアプローチを使用する場合は、別の支払い方法を指定する必要があります)。

  2. アカウントを AWS Control Tower の組織に招待します。AWS Organizations ドキュメントの「組織への AWS アカウントの招待」に記載されている手順に従います。

  3. 招待を受け入れます (アカウントは組織のルートに表示されます)。このステップでは、アカウントを AWS Control Tower と同じ組織に移動します。これにより、SCP と一括決済が確立されます。

ヒント

アカウントが古い組織から削除される前に、新しい組織への招待を送信できます。招待は、アカウントが既存の組織から削除されるのを待機します。

次に、残りの前提条件を満たす必要があります。

  1. 必要な AWSControlTowerExecution ロールを作成します。

  2. デフォルト VPC をクリアします (これはオプションです。AWS Control Tower は既存のデフォルト VPC を変更しません)。

  3. AWS CLI または AWS CloudShell を通じて既存の AWS Config 設定レコーダーまたは配信チャネルを削除または変更します。「リソースステータスの AWS Config CLI コマンドの例」および「既存の AWS Config リソースを持つアカウントを登録する」を参照してください。

  4. 必要に応じて、その他の前提条件を満たします。

これらの準備手順が完了したら、AWS Control Tower にアカウントを登録できます。「アカウントを登録する手順」を参照してください。このステップにより、アカウントが AWS Control Tower の完全な管理下に入ります。

アカウントのプロビジョニングを解除して、アカウントを登録してスタックを維持できるようにするための任意のステップ

  1. オプションで、適用された AWS CloudFormation を保持するには、スタックセットからスタックインスタンスを削除し、そのインスタンスに [Retain stacks] (スタックの保持) を選択します。

  2. AWS Service Catalog Account Factory のアカウントでプロビジョニングされた製品を終了します。(このステップでは、プロビジョニングされた製品が AWS Control Tower から削除されるだけで、実際にはアカウントは削除されません)。

  3. 必要に応じて、組織に属していないアカウントに必要な請求の詳細を使用してアカウントを設定し、そのアカウントを組織から削除します。これは、アカウントが AWS Organizations クォータの合計に対してカウントされないようにするためです。

  4. リソースが残っている場合はアカウントをクリーンアップし、アカウントの管理を解除する で示したアカウント閉鎖のステップに従って、アカウントを閉鎖します。

  5. ガードレールが定義された [Suspended] (停止状態) の OU がある場合、ステップ 1 を実行する代わりに、その OU にアカウントを移動できます。

リソースステータスの AWS Config CLI コマンドの例

以下に、設定レコーダーと配信チャネルのステータスを確認するために使用できる AWS Config CLI コマンドの例を示します。

表示コマンド:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

削除コマンド:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

AWS Organizations アカウントの自動登録

既存の AWS アカウントを AWS Control Tower に登録する」というブログ投稿で説明されている登録方法を使用して、プログラム的なプロセスで AWS Organizations アカウントを AWS Control Tower に登録できます。

次の YAML テンプレートを使用すると、アカウントに必要なロールを作成してプログラム的に登録できます。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. ​ Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 ​ Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/AdministratorAccess