必要な IAM ロールを既存の AWS アカウントに手動で追加し、登録します。 - AWS Control Tower

必要な IAM ロールを既存の AWS アカウントに手動で追加し、登録します。

AWS Control Tower のランディングゾーンを既に設定している場合は、AWS Control Tower に登録されている OU に組織のアカウントを登録できます。ランディングゾーンをまだ設定していない場合は、「AWS Control Tower ユーザーガイド」の「はじめに」のステップ 2 に記載されている手順に従います。ランディングゾーンの準備ができたら、次のステップを実行して、手動で既存のアカウントを AWS Control Tower による管理下に入れます。

この章で前述した 登録の前提条件 を必ず確認してください。

AWS Control Tower にアカウントを登録する前に、そのアカウントを管理するアクセス許可を AWS Control Tower に付与する必要があります。これを行うには、次のステップに示すように、アカウントへのフルアクセス権を持つロールを追加します。これらのステップは、登録するアカウントごとに実行する必要があります。

アカウントごとに次の手順を実行します。

ステップ 1: 登録するアカウントが現在含まれている組織の管理アカウントに、管理者アクセス権を使ってサインインします。

例えば、AWS Organizations からこのアカウントを作成し、クロスアカウント IAM ロールを使用してサインインする場合、次のステップを実行できます。

  1. 組織の管理アカウントにサインインします。

  2. AWS Organizations に移動します。

  3. [Accounts] (アカウント) で、登録するアカウントを選択し、アカウント ID をコピーします。

  4. 上部のナビゲーションバーのアカウントドロップダウンメニューを開き、[Switch Role] (ロールの切り替え) を選択します。

  5. [Switch Role] (ロールの切り替え) フォームで、次のフィールドに入力します。

    • [Account] (アカウント) に、コピーしたアカウント ID を入力します。

    • [Role] (ロール) に、このアカウントへのクロスアカウントアクセスを有効にする IAM ロールの名前を入力します。このロールの名前は、アカウントの作成時に定義されています。アカウントの作成時にロール名を指定していない場合は、デフォルトのロール名、OrganizationAccountAccessRole を入力します。

  6. [Switch Role] (ロールの切り替え) を選択します。

  7. これで、AWS 管理コンソールに子アカウントとしてサインインしたはずです。

  8. 完了したら、次の手順を実行するために子アカウントにとどまります。

  9. 管理アカウント ID は次のステップで入力する必要があるため、メモしておきます。

ステップ 2: AWS Control Tower にアカウントを管理する許可を付与します。

  1. [IAM] に移動します。

  2. [Roles] (ロール) に移動します。

  3. [ロールの作成] を選択します。

  4. ロールの対象となるサービスの選択を求められたら、[EC2] を選択し、[Next:Permissions] (次へ: アクセス許可) を選択します。これは、後で「AWS Control Tower」に変更します。

  5. ポリシーをアタッチするよう求められたら、[AdministratorAccess] を選択します。

  6. [Next:Tags] (次へ: タグ) を選択します。

  7. [Add tags] (タグを追加する) というタイトルのオプションの画面が表示されることがあります。[Next:Review] (次へ: レビュー) を選択して、この画面をスキップします。

  8. [Review] (確認) 画面の [Role name] (ロール名) フィールドに、AWSControlTowerExecution と入力します。

  9. [Description] (説明) ボックスに、登録のためのフルアカウントアクセスを許可などの短い説明を入力します。

  10. [ロールの作成] を選択します。

  11. 作成したロールに移動します。左側の [Roles] (ロール) を選択します。AWSControlTowerExecution を選択します。

  12. [Trust relationships] (信頼関係) で、[Edit trust relationship] (信頼関係を編集) を選択します。

  13. ここに示すコード例をコピーして、ポリシードキュメントに貼り付けます。文字列 Management Account ID を、管理アカウントの実際の管理アカウント ID に置き換えます。貼り付けるポリシーは次のとおりです。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }

ステップ 3: 登録された OU に移動してアカウントを登録し、登録を確認します。

ロールを作成して必要なアクセス許可を設定したら、次のステップに従ってアカウントを登録し、登録を確認します。

  1. 管理者として再度サインインし、AWS Control Tower に移動します。

  2. アカウントを登録します。
    • AWS Control Tower の [Organization] (組織) ページでアカウントを選択し、右上にある [Actions] (アクション) ドロップダウンメニューから [Enroll] (登録) を選択します。

    • アカウントを登録する手順 ページで示されているように、個々のアカウントを登録する手順に従います。

  3. 登録を確認します。
    • AWS Control Tower から、左側のナビゲーションの [Organization] (組織) を選択します。

    • 最近登録したアカウントを探します。初期状態では、[Enrolling] (登録中) のステータスが表示されます。

    • 状態が [Enrolled] (登録済み) に変わったら、移動は成功です。

このプロセスを続行するには、AWS Control Tower に登録する組織内の各アカウントにサインインします。各アカウントについて、前提条件のステップと登録のステップを繰り返します。