翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower の外部でリソースを管理する場合
AWS Control Tower は、ユーザーに代わってアカウント、組織単位、その他のリソースを設定しますが、ユーザーはこれらのリソースの所有者です。これらのリソースは、AWSControl Tower 内またはその外部で変更できます。AWS Control Tower の外部でリソースを変更する最も一般的な場所は、 AWS Organizations コンソールです。このトピックでは、AWSControl Tower の外部で変更を行うときに、AWSControl Tower リソースの変更を調整する方法について説明します。
AWS Control Tower コンソールの外部でリソースの名前変更、削除、および移動を行うと、コンソールの同期が停止します。変更の多くは自動的に調整されます。AWS Control Tower コンソールに表示される情報を更新するには、特定の変更でランディングゾーンへのリセットが必要です。
一般的に、AWSControl Tower コンソールの外部で AWS Control Tower リソースに加えた変更は、ランディングゾーンに解決可能なドリフトの状態を作成します。これらの変更の詳細については、「リソースへの修復可能な変更」を参照してください。
ランディングゾーンのリセットが必要なタスク
-
セキュリティ OU の削除 (特殊なケースであるため、不用意に行わないでください)
-
セキュリティ OU からの共有アカウントの削除 (非推奨)
-
セキュリティ OU SCPに関連付けられた を更新、アタッチ、またはデタッチします。
AWS Control Tower によって自動的に更新される変更
-
登録済みアカウントの E メールアドレスの変更
-
登録済みアカウントの名前変更
-
新しい最上位の組織単位 (OU) の作成
-
登録済み OU の名前変更
-
登録済み OU の削除 (更新が必要なセキュリティ OU は除きます)
-
登録済みアカウントの削除 (セキュリティ OU の共有アカウントは除きます)
注記
AWS Service Catalog は AWS Control Tower とは異なる方法で変更を処理します。変更を調整すると、ガバナンス体制に変更が生じる AWS Service Catalog 場合があります。プロビジョニング済み製品の更新の詳細については、 AWS Service Catalog ドキュメントの「プロビジョニング済み製品の更新」を参照してください。
AWS Control Tower 外のリソースを参照する
AWS Control Tower の外部で新しい アカウントOUsと アカウントを作成する場合、それらは表示されていても AWS Control Tower によって管理されません。
OU の作成
AWS Control Tower の外部で作成された組織単位 (OUs) は未登録と呼ばれます。これらは Organization ページに表示されますが、AWSControl Tower コントロールによって管理されません。
アカウントの作成
AWS Control Tower の外部で作成されたアカウントは、未登録と呼ばれます。AWS Control Tower に登録されている OU に属する登録済みアカウントと登録されていないアカウントは、組織ページに表示されます。登録済み OU に属していないアカウントは、 AWS Organizations コンソールを使用して招待できます。この参加の招待では、アカウントを AWS Control Tower に登録したり、AWSControl Tower ガバナンスをアカウントに拡張したりしません。アカウントを登録してガバナンスを拡張するには、AWSControl Tower の組織ページまたはアカウント詳細ページに移動し、アカウントの登録を選択します。
AWS Control Tower リソース名を外部で変更する
AWS Control Tower コンソールの外部で組織単位 (OUs) とアカウントの名前を変更でき、それらの変更を反映するためにコンソールが自動的に更新されます。
OU の名前変更
では AWS Organizations、 または コンソールを使用して AWS Organizations API OU の名前を変更できます。AWS Control Tower の外部で OU 名を変更すると、AWSControl Tower コンソールに名前の変更が自動的に反映されます。ただし、 を使用してアカウントをプロビジョニングする場合は AWS Service Catalog、 AWS Control Tower が と整合性を保つようにランディングゾーンをリセットする必要があります AWS Organizations。リセットワークフローは、基礎 および追加 のサービス間の一貫性を保証しますOUs。このタイプのドリフトは、[ランディングゾーン設定] ページから解決できます。「AWS Control Tower でドリフトを検出して解決する」の「ドリフトの解決」を参照してください。
AWS Control Tower は、AWSControl Tower ダッシュボードの OUs Organization ページに の名前を表示します。ランディングゾーンのリセットオペレーションが正常に完了したことを確認できます。
登録済みアカウントの名前変更
各 AWS アカウントには、 AWS Billing and Cost Management コンソールでアカウントのルートユーザーが変更できる表示名があります。AWS Control Tower に登録されているアカウントの名前を変更すると、名前の変更は自動的に AWS Control Tower に反映されます。アカウント名の変更の詳細については、AWS 「 Billing User Guide」の「Managing an AWS account」を参照してください。
セキュリティ OU の削除
このタイプのドリフトは特殊なケースです。セキュリティ OU を削除すると、ランディングゾーンのリセットを求めるエラーメッセージページが表示されます。AWS Control Tower で他のアクションを実行する前に、ランディングゾーンをリセットする必要があります。
-
AWS Control Tower コンソールでアクションを実行することはできず、 AWS Service Catalog リセットが完了するまで で新しいアカウントを作成することはできません。
-
[ランディングゾーン設定] ページを開いても、そのページに [リセット] ボタンは表示されません。
この場合、ランディングゾーンのリセットプロセスによって新しいセキュリティ OU が作成され、2 つの共有アカウントが新しいセキュリティ OU に移動されます。 AWSControl Tower は、ログアーカイブアカウントと監査アカウントをドリフト済みとしてマークします。どちらのアカウントでも同じプロセスでドリフトが解決されます。
[Security] (セキュリティ) OU を削除する必要があると判断した場合は、次の点に留意してください。
[Security] (セキュリティ) OU を削除する前に、その OU にアカウントが含まれていないことを確認する必要があります。具体的には、OU からログアーカイブアカウントと監査アカウントを削除する必要があります。これらのアカウントを別の OU に移動することをお勧めします。
注記
セキュリティ OU を削除するアクションは不用意に実行しないでください。ログが一時的に停止されている場合、一部のコントロールが適用されない可能性があるため、このアクションによりコンプライアンスの問題が発生することがあります。
ドリフトに関する一般的な情報については、「AWS Control Tower でドリフトを検出して解決する」の「ドリフトの解決」を参照してください。
セキュリティ OU からのアカウントの削除
組織から共有アカウントを削除したり、[Security] (セキュリティ) OU から共有アカウントを移動したりすることはお勧めしません。誤って共有アカウントを削除した場合は、このセクションの修復ステップに従ってアカウントを復元できます。
-
AWS Control Tower コンソール内から: 修復プロセスを開始するには、半手動修復ステップに従います。AWS Control Tower コンソールへのアクセスに使用するユーザーまたはロールに、 を実行するアクセス許可があることを確認します
organizations:InviteAccountToOrganization。このようなアクセス許可がない場合は、手動修復ステップに従います。このステップでは、AWSControl Tower コンソールと AWS Organizations コンソールの両方を使用します。 -
AWS Organizations コンソールから開始: この修復プロセスは、少し長く、完全に手動の手順です。手動修復手順に従うと、 AWS Organizations コンソールと AWS Control Tower コンソールが切り替わります。で作業するときは AWS Organizations、
AWSOrganizationsFullAccess管理ポリシーまたは同等のポリシーを持つユーザーまたはロールが必要です。AWS Control Tower コンソールで作業する場合、AWSControlTowerServiceRolePolicy管理ポリシーまたは同等のポリシーを持つユーザーまたはロール、およびすべての AWS Control Tower アクション (controltower:*) を実行するアクセス許可が必要です。 -
修復ステップでアカウントが復元されない場合は、 AWS サポートにお問い合わせください。
共有アカウントを削除した結果 AWS Organizations:
-
アカウントは、サービスコントロールポリシー () による AWS Control Tower の必須コントロールによって保護されなくなりましたSCPs。結果: アカウントで AWS Control Tower によって作成されたリソースは、変更または削除される場合があります。
-
アカウントは AWS Organizations 管理アカウントの下に存在しなくなりました。結果: AWS Organizations 管理アカウントの管理者は、アカウントの支出を可視化できなくなりました。
-
アカウントが によってモニタリングされることは保証されなくなりました AWS Config。結果: AWS Organizations 管理アカウントの管理者は、リソースの変更を検出できない場合があります。
-
アカウントが組織内に存在しなくなります。結果: AWS Control Tower の更新とリセットは失敗します。
AWS Control Tower コンソールを使用して共有アカウントを復元するには (半手動手順)
-
https://console.aws.amazon.com/controltower
で AWS Control Tower コンソールにサインインします。ユーザーIAM、IAMIdentity Center のユーザー、または を実行するアクセス許可を持つロールとしてサインインする必要があります organizations:InviteAccountToOrganization。このような許可がない場合は、このトピックで後述する手動修復ステップを使用してください。 -
[Landing zone drift detected] (ランディングゾーンのドリフトが検出されました) ページで、[Re-Invite] (再招待) を選択して、共有アカウントを組織に再招待することで共有アカウントの削除を修復します。自動的に生成された E メールが、アカウントの E メールアドレスに送信されます。
-
招待を承諾して、共有アカウントを組織に戻します。次のいずれかを行います。
-
削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites
に移動します。 -
アカウントを再招待したときに送信された E メールメッセージにアクセスできる場合は、削除したアカウントにサインインし、メッセージ内のリンクをクリックして、アカウントの招待に直接移動します。
-
削除された共有アカウントが別の組織にない場合は、アカウントにサインインし、 AWS Organizations コンソールを開いて招待に移動します。
-
-
管理アカウントに再度サインインするか、AWSControl Tower コンソールがすでに開いている場合は再ロードします。[Landing zone drift] (ランディングゾーンドリフト) ページが表示されます。[リセット] を選択してランディングゾーンを修復します。
-
リセットプロセスが完了するまで待ちます。
修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。
修復ステップでアカウントが復元されない場合は、 AWS サポートにお問い合わせください。
AWS Control Tower と AWS Organizations コンソールを使用して共有アカウントを復元するには (手動修復)
-
で AWS Organizations コンソールにサインインしますhttps://console.aws.amazon.com/organizations/
。 AWSOrganizationsFullAccess管理ポリシーまたは同等のポリシーを使用して、 IAM ユーザー、IAMIdentity Center のユーザー、またはロールとしてサインインする必要があります。 -
共有アカウントを組織に招待し直します。アカウントを招待する要件、前提条件、手順については AWS Organizations、「 ユーザーガイド」の「組織への AWS アカウントの招待」を参照してください。 AWS Organizations
-
削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites
に移動して招待を受け入れます。 -
管理アカウントにもう一度サインインします。。
-
AWSControlTowerServiceRolePolicy管理ポリシーまたは同等のポリシーを持つユーザーまたはロールとして AWS Control Tower コンソールにサインインし、すべての AWS Control Tower アクション (コントローラー:*) を実行するアクセス許可を付与します。 -
[ランディングゾーンのドリフト] ページが表示されます。ここには、ランディングゾーンをリセットするオプションがあります。[リセット] を選択してランディングゾーンを修復します。
-
リセットプロセスが完了するまで待ちます。
修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。
修復ステップでアカウントが復元されない場合は、 AWS サポートにお問い合わせください。
自動的に更新される外部変更
アカウントの E メールアドレスに加えた変更は、AWSControl Tower によって自動的に更新されますが、Account Factory によって自動的に更新されることはありません。
管理対象アカウントの E メールアドレスの変更
AWS Control Tower は、コンソールエクスペリエンスの必要に応じて E メールアドレスを取得して表示します。したがって、共有およびその他のアカウントの E メールアドレスは、変更後に Control Tower AWS で一貫して更新および表示されます。
注記
では AWS Service Catalog、プロビジョニング済み製品の作成時にコンソールで指定されたパラメータが Account Factory に表示されます。ただし、元のアカウントの E メールアドレスは変更されても、自動的には更新されません。これは、アカウントがプロビジョニングされた製品に概念的に含まれているためです。プロビジョニングされた製品とは異なります。この値を更新するには、プロビジョニングされた製品を更新する必要があります。これにより、ガバナンス体制が変更される可能性があります。
外部 AWS Config ルールの適用
AWS Control Tower は、AWSControl Tower コンソールの外部でアクティブ化された AWS Config ルールを含め、AWSControl Tower に登録された組織単位にデプロイされたすべてのルールのコンプライアンスステータスを表示します。
AWS Control Tower の外部での AWS Control Tower リソースの削除
AWS Control Tower で OUsおよび アカウントを削除でき、更新を表示するためにそれ以上のアクションを実行する必要はありません。Account Factory は、OU を削除したときには自動的に更新されますが、アカウントを削除したときには更新されません。
登録済み OU の削除 (セキュリティ OU は除きます)
内では AWS Organizations、 APIまたは コンソールを使用して、空の組織単位 (OUs) を削除できます。アカウントOUsを含む は削除できません。
AWS OU が削除され AWS Organizations ると、Control Tower は から通知を受け取ります。Account Factory の OU リストを更新して、登録された のリストの整合性OUsを維持します。
注記
では AWS Service Catalog、Account Factory が更新され、アカウントをプロビジョニングOUsできる のリストから削除された OU が削除されます。
OU からの登録済みアカウントの削除
登録済みのアカウントを削除すると、AWSControl Tower は通知を受信して更新し、情報の整合性を維持します。
注記
では AWS Service Catalog、管理対象アカウントを表す Account Factory プロビジョニング済み製品は、アカウントを削除するために更新されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、 AWS Service Catalogに移動し、プロビジョニングされた製品を選択してから、[Terminate] (削除) を選択します。
