AWS Control Tower の外部でリソースを管理する場合 - AWS Control Tower

AWS Control Tower の外部でリソースを管理する場合

AWS Control Tower はお客様に代わってアカウント、組織単位、その他のリソースをセットアップしますが、これらのリソースの所有者はお客様です。これらのリソースは、AWS Control Tower の内部または外部で変更できます。AWS Control Tower の外部でリソースを変更する最も一般的な場所は、AWS Organizations コンソールです。このトピックでは、AWS Control Tower の外部で変更を行う場合に、AWS Control Tower リソースへの変更を調整する方法について説明します。

AWS Control Tower コンソールの外部でリソースの名前変更、削除、移動を行うと、コンソールが同期しなくなります。変更の多くは自動的に調整されます。変更によっては、ランディングゾーンを修復して、AWS Control Tower コンソールに表示される情報を更新する必要があります。

一般に、AWS Control Tower コンソールの外部で AWS Control Tower リソースに加えた変更により、ランディングゾーンで修復可能なドリフトが発生します。これらの変更の詳細については、「リソースへの修復可能な変更」を参照してください。

ランディングゾーンの修復が必要なタスク

  • セキュリティ OU の削除 (特殊なケースであるため、不用意に行わないでください)

  • セキュリティ OU からの共有アカウントの削除 (非推奨)

  • セキュリティ OU に関連付けられた SCP の更新、アタッチ、またはデタッチ。

AWS Control Tower によって自動的に更新される変更

  • 登録済みアカウントの E メールアドレスの変更

  • 登録済みアカウントの名前変更

  • 新しい最上位の組織単位 (OU) の作成

  • 登録済み OU の名前変更

  • 登録済み OU の削除 (更新が必要なセキュリティ OU は除きます)

  • 登録済みアカウントの削除 (セキュリティ OU の共有アカウントは除きます)

注記

AWS Service Catalog は AWS Control Tower とは異なる方法で変更を処理します。AWS Service Catalog が変更を調整すると、管理体制が変更される可能性があります。プロビジョニング済み製品の更新の詳細については、AWS Service Catalog のドキュメントの「プロビジョニング済み製品の更新」を参照してください。

AWS Control Tower の外部にあるリソースの参照

AWS Control Tower の外部で新しい OU とアカウントを作成した場合は、それらが表示されていても、AWS Control Tower の管理対象外となります。

OU の作成

AWS Control Tower の外部で作成された組織単位 (OU) は未登録と見なされます。そうした OU は、[Organization] (組織) ページに表示されますが、AWS Control Tower ガードレールの管理対象外となります。

アカウントの作成

AWS Control Tower の外部で作成されたアカウントは未登録と見なされます。AWS Control Tower に登録済みの OU に属する登録済みアカウントと未登録アカウントは、[Organization] (組織) ページに表示されます。登録済み OU に属していないアカウントは、AWS Organizations コンソールを使用して招待できます。この招待の目的は、アカウントを AWS Control Tower に登録したり、AWS Control Tower の管理対象をアカウントに拡大したりすることではありません。アカウントを登録して管理対象を拡大するには、AWS Control Tower で [Organization] (組織) ページまたは [Account detail] (アカウント詳細) に移動し、 [Enroll account] (アカウントを登録) を選択します。

AWS Control Tower の外部でのリソース名の変更

AWS Control Tower コンソールの外部で組織単位 (OU) とアカウントの名前を変更できます。変更すると、その変更を反映するためにコンソールが自動的に更新されます。

OU の名前変更

AWS Organizations では、AWS Organizations API またはコンソールを使用して、OU の名前を変更できます。AWS Control Tower の外部で OU 名を変更すると、AWS Control Tower コンソールに名前の変更が自動的に反映されます。ただし、AWS Service Catalog を使用してアカウントをプロビジョニングする場合は、AWS Control Tower と AWS Organizations との間で整合性が保たれるようにランディングゾーンを修復する必要もあります。[Repair] (修復) ワークフローにより、基礎 OU と追加 OU のサービス間で整合性が保たれます。このタイプのドリフトは、[Landing zone settings] (ランディングゾーン設定) ページから修復できます。「AWS Control Tower でドリフトを検出および解決する」の「ドリフトの解決」を参照してください。

AWS Control Tower ダッシュボードの [Organization] (組織) ページに OU の名前が表示されます。ランディングゾーン修復が正常に完了したことを確認できます。

登録済みアカウントの名前変更

各 AWS アカウントの表示名は、アカウントのルートユーザーが AWS Billing and Cost Management コンソールで変更できます。AWS Control Tower に登録されているアカウントの名前を変更すると、その名前変更が AWS Control Tower に自動的に反映されます。アカウント名の変更の詳細については、AWS 請求ユーザーガイドの「AWS アカウントを管理する」を参照してください。

セキュリティ OU の削除

このタイプのドリフトは特殊なケースです。[Security] (セキュリティ) OU を削除すると、ランディングゾーンの修復を求めるエラーメッセージページが表示されます。AWS Control Tower で他のアクションを実行する前に、ランディングゾーンを修復する必要があります。

  • 修復が完了するまで、AWS Control Tower コンソールでいずれのアクションも実行できず、AWS Service Catalog で新しいアカウントを作成することもできません。

  • [Landing zone settings] (ランディングゾーン設定) ページを開いても、そのページに [Repair] (修復) ボタンは表示されません。

この状況では、ランディングゾーンの修復プロセスによって、新しいセキュリティ OU が作成され、2 つの共有アカウントが新しいセキュリティ OU に移動されます。AWS Control Tower は、ログアーカイブアカウントと監査アカウントをドリフト済みとしてマークします。これと同じプロセスによって、どちらのアカウントでもドリフトが修復されます。

[Security] (セキュリティ) OU を削除する必要があると判断した場合は、次の点に留意してください。

[Security] (セキュリティ) OU を削除する前に、その OU にアカウントが含まれていないことを確認する必要があります。具体的には、OU からログアーカイブアカウントと監査アカウントを削除する必要があります。これらのアカウントを別の OU に移動することをお勧めします。

注記

セキュリティ OU を削除するアクションは不用意に実行しないでください。ログが一時的に停止されている場合、一部のガードレールが適用されない可能性があるため、このアクションによりコンプライアンスの問題が発生することがあります。

ドリフトに関する一般的な情報については、「AWS Control Tower でドリフトを検出および解決する」の「ドリフトの解決」を参照してください。

セキュリティ OU からのアカウントの削除

組織から共有アカウントを削除したり、[Security] (セキュリティ) OU から共有アカウントを移動したりすることはお勧めしません。誤って共有アカウントを削除した場合は、このセクションの修復ステップに従ってアカウントを復元できます。

  • AWS Control Tower コンソール内から: 修復プロセスを開始するには、半手動修復ステップに従います。AWS Control Tower コンソールへのアクセスに使用するユーザーまたはロールに、organizations:InviteAccountToOrganization を実行する許可があることを確認します。このような許可がない場合は、AWS Control Tower コンソールと AWS Organizations コンソールの両方を使用した手動修復ステップに従います。

  • AWS Organizations コンソールからの開始: この修復プロセスは、少し時間のかかる完全手動の手順です。手動修復ステップに従うときは、AWS Organizations コンソールと AWS Control Tower コンソールを切り替えて使用することになります。AWS Organizations で作業するときは、AWSOrganizationsFullAccess マネージドポリシーまたは同等のものを持つユーザーまたはロールが必要です。AWS Control Tower コンソールで作業するときは、AWSControlTowerServiceRolePolicy マネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controtower: *) を持つユーザーまたはロールが必要です。

  • 修復ステップでアカウントが復元されない場合は、AWS Support にお問い合わせください。

AWS Organizations で共有アカウントを削除した場合の結果:

  • AWS Control Tower の必須のガードレールサービスコントロールポリシー (SCP) によってアカウントが保護されなくなります。結果: AWS Control Tower によってアカウント内に作成されたリソースが変更または削除される場合があります。

  • アカウントが AWS Organizations 管理アカウントではなくなります。結果: AWS Organizations 管理アカウントの管理者がアカウントの使用量を把握できなくなります。

  • アカウントが AWS Config によってモニタリングされる保証がなくなります。結果: AWS Organizations 管理アカウントの管理者がリソースの変更を検出できなくなる可能性があります。

  • アカウントが組織内に存在しなくなります。結果: AWS Control Tower の更新と修復が失敗します。

AWS Control Tower コンソールを使用して共有アカウントを復元するには (半手動の手順)

  1. https://console.aws.amazon.com/controltower で AWS Control Tower コンソールにサインインします。organizations:InviteAccountToOrganization を実行する許可を持つ AWS Identity and Access Management (IAM) ユーザーまたはロールとしてサインインする必要があります。このような許可がない場合は、このトピックで後述する手動修復ステップを使用してください。

  2. [Landing zone drift detected] (ランディングゾーンのドリフトが検出されました) ページで、[Re-Invite] (再招待) を選択して、共有アカウントを組織に再招待することで共有アカウントの削除を修復します。自動的に生成された E メールが、アカウントの E メールアドレスに送信されます。

  3. 招待を承諾して、共有アカウントを組織に戻します。以下のいずれかを実行します。

    • 削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites に移動します。

    • アカウントを再招待したときに送信された E メールメッセージにアクセスできる場合は、削除したアカウントにサインインし、メッセージ内のリンクをクリックして、アカウントの招待に直接移動します。

    • 削除された共有アカウントが別の組織にない場合は、アカウントにサインインし、AWS Organizations コンソールを開いて、[Invitations] (招待) に移動します。

  4. 管理アカウントに再度サインインするか、AWS Control Tower コンソールが既に開いている場合は再ロードします。[Landing zone drift] (ランディングゾーンドリフト) ページが表示されます。[Repair] (修復) を選択してランディングゾーンを修復します。

  5. 修復プロセスが完了するまで待ちます。

修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。

修復ステップでアカウントが復元されない場合は、AWS Support にお問い合わせください。

AWS Control Tower と AWS Organizations コンソールを使用して共有アカウントを復元するには (手動修復)

  1. https://console.aws.amazon.com/organizations/ で AWS Organizations コンソールにサインインします。AWSOrganizationsFullAccess マネージドポリシーまたは同等のものを持つ IAM ユーザーまたはロールとしてサインインする必要があります。

  2. 共有アカウントを組織に招待し直します。アカウントを AWS Organizations に招待するための要件、前提条件、および手順については、「AWS Organizations ユーザーガイド」の「組織への AWS アカウントの招待」を参照してください。

  3. 削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites に移動して、招待を承諾します。

  4. 管理アカウントにもう一度サインインします。。

  5. AWSControlTowerServiceRolePolicy マネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controtower: *) を持つ IAM ユーザーまたはロールとして、AWS Control Tower コンソールにサインインします。

  6. [Landing zone drift] (ランディングゾーンドリフト) ページが表示されます。ここには、ランディングゾーンを修復するオプションがあります。[Repair] (修復) を選択してランディングゾーンを修復します。

  7. 修復プロセスが完了するまで待ちます。

修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。

修復ステップでアカウントが復元されない場合は、AWS Support にお問い合わせください。

自動的に更新される外部変更

アカウントの E メールアドレスに加えた変更は、AWS Control Tower では自動的に更新されますが、Account Factory では自動的に更新されません。

管理対象アカウントの E メールアドレスの変更

AWS Control Tower は、コンソールエクスペリエンスから求められた E メールアドレスを取得して表示します。したがって、共有アカウントおよびその他のアカウントの E メールアドレスは、変更後も常に更新され、AWS Control Tower に表示されます。

注記

AWS Service Catalog では、プロビジョニングされた製品を作成したときにコンソールで指定したパラメータが Account Factory によって表示されます。ただし、元のアカウントの E メールアドレスは変更されても、自動的には更新されません。これは、アカウントがプロビジョニングされた製品に概念的に含まれているためです。プロビジョニングされた製品とは異なります。この値を更新するには、プロビジョニングされた製品を更新する必要があります。これにより、ガバナンス体制が変更される可能性があります。

AWS Control Tower の外部での AWS Control Tower リソースの削除

AWS Control Tower で OU とアカウントを削除でき、これ以上のアクションを実行することなく更新を確認できます。Account Factory は、OU を削除したときには自動的に更新されますが、アカウントを削除したときには更新されません。

登録済み OU の削除 (セキュリティ OU は除きます)

AWS Organizations 内では、API またはコンソールを使用して、空の組織単位 (OU) を削除できます。アカウントを含む OU は削除できません。

OU を削除すると、AWS Organizations から AWS Control Tower に通知が届きます。また、Account Factory の OU リストが更新されて、登録済み OU のリストの整合性が保たれます。

削除した OU が AWS Control Tower コンソールに表示されている場合は、ランディングゾーンを修復して古いエントリを削除します。

注記

AWS Service Catalog では、Account Factory が更新されて、アカウントをプロビジョニングできる OU のリストから、削除された OU が除外されます。

OU からの登録済みアカウントの削除

登録済みアカウントを削除すると、AWS Control Tower に通知が届いて更新が行われます。これにより、情報の整合性が保たれます。

削除したアカウントが AWS Control Tower コンソールに表示されている場合は、ランディングゾーンを修復して古いエントリを削除してください。

注記

AWS Service Catalog では、Account Factory でプロビジョニングされた製品のうち管理対象アカウントを表すものは更新されず、アカウントは削除されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、AWS Service Catalog に移動し、プロビジョニングされた製品を選択してから、[Terminate] (削除) を選択します。