登録の前提条件
AWS Control Tower にアカウントを登録するには、次の前提条件を満たす必要があります。
既存のアカウントを登録するには、登録するアカウントに AWSControlTowerExecution ロールが存在する必要があります。
-
アカウントが AWS Config 設定レコーダーまたは配信チャネルを持たないようにすることをお勧めします。アカウントを登録する前に、AWS CLI を使用してこれらを削除または変更できます。それ以外の場合、既存のリソースを変更する方法については、「既存の AWS Config リソースを持つアカウントを登録する」を参照してください。
-
登録するアカウントは、AWS Control Tower 管理アカウントと同じ AWS Organizations 組織に存在する必要があります。既存のアカウントは、AWS Control Tower 管理アカウントと同じ組織にのみ、AWS Control Tower に既に登録されている OU で登録できます。
-
既存のアカウントを AWS Control Tower に登録する前に、アカウントに以下のロール、アクセス許可、信頼関係が設定されている必要があります。それ以外の場合、登録は失敗します。
ロール名:
AWSControlTowerExecution
ロールのアクセス許可:
AdministratorAccess
(AWS マネージドポリシー)ロールの信頼関係:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
Management Account ID
:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
登録に関するその他の前提条件を確認するには、「AWS Control Tower の開始方法」を参照してください。
AWS Control Tower にアカウントを登録すると、そのアカウントは AWS Control Tower 組織の AWS CloudTrail 追跡によって管理されます。CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。