既存の を登録する AWS アカウント - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

既存の を登録する AWS アカウント

AWS Control Tower ガバナンスは、Control Tower によって既に管理されている組織単位 (OU) AWS に登録 AWS アカウント するときに既存の個人に拡張できます。対象となるアカウントは、Control Tower OU と同じ AWS Organizations 組織の一部OUsである未登録の に存在します。 AWS

注記

ランディングゾーンの初期セットアップ時を除き、既存のアカウントを監査アカウントまたはログアーカイブアカウントとして登録することはできません。

信頼されたアクセスを最初にセットアップする

既存の AWS アカウント を AWS Control Tower に登録する前に、AWSControl Tower が アカウントを管理または管理するためのアクセス許可を付与する必要があります。具体的には、AWSControl Tower には AWS Organizations 、ユーザーに代わって AWS CloudFormation と の間で信頼されたアクセスを確立するためのアクセス許可が必要です。これにより、 AWS CloudFormation は、選択した組織のアカウントにスタックを自動的にデプロイできます。この信頼されたアクセスでは、AWSControlTowerExecution ロールは、各アカウントを管理するために必要なアクティビティを実行します。そのため、登録する前にこのロールを各アカウントに追加する必要があります。

信頼されたアクセスが有効になっている場合、 は 1 回のオペレーション AWS リージョン で複数のアカウント間でスタックを作成、更新、または削除 AWS CloudFormation できます。AWS Control Tower はこの信頼機能に依存しているため、既存のアカウントを登録済みの組織単位に移動する前にロールとアクセス許可を適用できるため、ガバナンス下に置かれます。

信頼されたアクセスと AWS CloudFormation StackSets、「」を参照してください。 AWS CloudFormationStackSets および AWS Organizations

アカウント登録中の処理

登録プロセス中、AWSControl Tower は次のアクションを実行します。

  • アカウントのベースラインを作成します。これには、以下のスタックセットのデプロイが含まれます。

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    これらのスタックセットのテンプレートで既存のポリシーとの競合がないことを確認することをお勧めします。

  • AWS IAM Identity Center または を通じてアカウントを識別します AWS Organizations。

  • 指定した OU にアカウントを配置します。セキュリティ体制が一貫しているように、現在の OU SCPsに適用されるものをすべて適用してください。

  • 選択した OU 全体SCPsに適用される を使用して、アカウントに必須のコントロールを適用します。

  • アカウント内のすべてのリソースを記録するように有効に AWS Config して設定します。

  • AWS Control Tower 検出コントロールをアカウントに適用する AWS Config ルールを追加します。

アカウントと組織レベルの CloudTrail 証跡

OU のすべてのメンバーアカウントは、OU の AWS CloudTrail 証跡によって管理され、登録されているかどうかは問いません。

  • AWS Control Tower にアカウントを登録すると、アカウントは新しい組織の AWS CloudTrail 証跡によって管理されます。証 CloudTrail 跡の既存のデプロイがある場合、AWSControl Tower に登録する前にアカウントの既存の証跡を削除しない限り、重複料金が表示されることがあります。

  • AWS Organizations コンソールなどを使用してアカウントを登録済みの OU に移動し、アカウントを AWS Control Tower に登録しない場合は、アカウントの残りのアカウントレベルの証跡を削除できます。 CloudTrail 証跡の既存のデプロイがある場合、重複 CloudTrail 料金が発生します。

ランディングゾーンを更新して組織レベルの証跡をオプトアウトすることを選択した場合、またはランディングゾーンがバージョン 3.0 より古い場合、組織レベルの CloudTrail証跡はアカウントには適用されません。

で既存のアカウントを登録する VPCs

AWS Control Tower は、Account Factory で新しいアカウントをプロビジョニングする場合と、既存のアカウントを登録する場合とで処理がVPCs異なります。

  • 新しいアカウントを作成すると、AWSControl Tower は自動的に AWS デフォルトを削除VPCし、VPCそのアカウントの新しい を作成します。

  • 既存のアカウントを登録すると、AWSControl Tower はそのVPCアカウントの新しい を作成しません。

  • 既存のアカウントを登録しても、AWSControl Tower はアカウントVPCに関連付けられた既存のVPCまたは AWS デフォルトを削除しません。

ヒント

Account Factory を設定することで、新しいアカウントのデフォルトの動作を変更できます。これにより、AWSControl Tower で組織内のアカウントに対してVPCデフォルトで が設定されません。詳細については、「AWS Control Tower で VPC なしのアカウントを作成する」を参照してください。

リソースステータスのコマンド例 AWS Config CLI

設定レコーダーと配信チャネルのステータスを判断するために使用できるコマンドの例 AWS Config CLIをいくつか示します。

表示コマンド:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

通常の応答は "name": "default" のようになります。

削除コマンド:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

次のYAMLテンプレートは、プログラムで登録できるように、アカウントで必要なロールを作成するのに役立ちます。

AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess