登録の前提条件 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

登録の前提条件

AWS アカウント 既存のものを AWS Control Tower に登録するには、以下の前提条件を満たす必要があります。

  1. 既存のロールを登録するには AWS アカウント、AWSControlTowerExecution登録するアカウントにそのロールが存在している必要があります。詳細と手順については、「アカウントを登録する」で参照できます。

  2. AWSControlTowerExecution ロールに加えて、登録する既存の AWS アカウント には、以下のアクセス許可と信頼関係が必要です。それ以外の場合、登録は失敗します。

    ロール権限:AdministratorAccess(AWS 管理ポリシー)

    ロールの信頼関係:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Management Account ID:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. AWS Config アカウントには設定レコーダーや配信チャネルを設定しないことをお勧めします。アカウントを登録する前に、 AWS CLI を使用してこれらを削除または変更できます。それ以外の場合は、「AWS Config 既存のリソースを持つアカウントを登録する」を参照して、既存のリソースを変更する方法を確認してください。

  4. 登録するアカウントは、AWS Control Tower 管理アカウントと同じ AWS Organizations 組織に存在する必要があります。既存のアカウントは、AWS Control Tower 管理アカウントと同じ組織にのみ、AWS Control Tower に既に登録されている OU で登録できます。

登録に関するその他の前提条件を確認するには、「AWS Control Tower の開始方法」を参照してください。

注記

AWS Control Tower にアカウントを登録すると、そのアカウントは AWS Control Tower 組織の AWS CloudTrail 追跡によって管理されます。 CloudTrail証跡をすでにデプロイしている場合、AWS Control Tower に登録する前にアカウントの既存の証跡を削除しない限り、重複した料金が表示されることがあります。