翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower はお客様に代わってアカウント、組織単位、その他のリソースをセットアップしますが、これらのリソースの所有者はお客様です。これらのリソースは、AWS Control Tower の内部または外部で変更できます。AWS Control Tower の外部でリソースを変更する最も一般的な場所は、 AWS Organizations コンソールです。このトピックでは、AWS Control Tower の外部で変更を行う場合に、AWS Control Tower リソースへの変更を調整する方法について説明します。
AWS Control Tower コンソールの外部でリソースの名前変更、削除、移動を行うと、コンソールが同期しなくなります。変更の多くは自動的に調整されます。変更によっては、ランディングゾーンをリセットして、AWS Control Tower コンソールに表示される情報を更新する必要があります。
一般に、AWS Control Tower コンソールの外部で AWS Control Tower リソースに加えた変更により、ランディングゾーンで解決可能なドリフトの状態が発生します。これらの変更の詳細については、「リソースへの修復可能な変更」を参照してください。
ランディングゾーンのリセットが必要なタスク
-
セキュリティ OU の削除 (特殊なケースであるため、不用意に行わないでください)
-
セキュリティ OU からの共有アカウントの削除 (非推奨)
-
セキュリティ OU に関連付けられた SCP の更新、アタッチ、またはデタッチ。
AWS Control Tower によって自動的に更新される変更
-
登録済みアカウントの E メールアドレスの変更
-
登録済みアカウントの名前変更
-
新しい最上位の組織単位 (OU) の作成
-
登録済み OU の名前変更
-
登録済み OU の削除 (更新が必要なセキュリティ OU は除きます)
-
登録済みアカウントの削除 (セキュリティ OU の共有アカウントは除きます)
注記
AWS Service Catalog は、AWS Control Tower とは異なる方法で変更を処理します。 は、変更を調整するときにガバナンス体制の変更を作成する AWS Service Catalog 場合があります。プロビジョニング済み製品の更新の詳細については、 AWS Service Catalog ドキュメントの「プロビジョニング済み製品の更新」を参照してください。
AWS Control Tower の外部にあるリソースの参照
AWS Control Tower の外部で新しい OU とアカウントを作成した場合は、それらが表示されていても、AWS Control Tower の管理対象外となります。
OU の作成
AWS Control Tower の外部で作成された組織単位 (OU) は未登録と見なされます。そうした OU は、[Organization] (組織) ページに表示されますが、AWS Control Tower コントロールの管理対象外となります。
アカウントの作成
AWS Control Tower の外部で作成されたアカウントは未登録と見なされます。AWS Control Tower に登録済みの OU に属する登録済みアカウントと未登録アカウントは、[Organization] (組織) ページに表示されます。登録済み OU に属していないアカウントは、 AWS Organizations コンソールを使用して招待できます。この招待の目的は、アカウントを AWS Control Tower に登録したり、AWS Control Tower の管理対象をアカウントに拡大したりすることではありません。アカウントを登録して管理対象を拡大するには、AWS Control Tower で [Organization] (組織) ページまたは [Account detail] (アカウント詳細) に移動し、 [Enroll account] (アカウントを登録) を選択します。
AWS Control Tower の外部でのリソース名の変更
AWS Control Tower コンソールの外部で組織単位 (OU) とアカウントの名前を変更できます。変更すると、その変更を反映するためにコンソールが自動的に更新されます。
OU の名前変更
では AWS Organizations、 AWS Organizations API またはコンソールを使用して OU の名前を変更できます。AWS Control Tower の外部で OU 名を変更すると、AWS Control Tower コンソールに名前の変更が自動的に反映されます。ただし、 AWS Service Catalogを使用してアカウントをプロビジョニングする場合は、AWS Control Tower と AWS Organizationsとの間で整合性が保たれるようにランディングゾーンをリセットする必要もあります。[リセット] ワークフローにより、基礎 OU と追加 OU のサービス間で整合性が保たれます。このタイプのドリフトは、[ランディングゾーン設定] ページから解決できます。「AWS Control Tower でドリフトを検出および解決する」の「ドリフトの解決」を参照してください。
AWS Control Tower ダッシュボードの [Organization] (組織) ページに OU の名前が表示されます。ランディングゾーンのリセットオペレーションが正常に完了したことを確認できます。
登録済みアカウントの名前変更
各 AWS アカウントには表示名があり、 AWS Billing and Cost Management コンソールでアカウントのルートユーザーが変更できます。AWS Control Tower に登録されているアカウントの名前を変更すると、その名前変更が AWS Control Tower に自動的に反映されます。アカウント名の変更の詳細については、AWS 「 Billing User Guide」の「Managing an AWS account」を参照してください。
セキュリティ OU の削除
このタイプのドリフトは特殊なケースです。セキュリティ OU を削除すると、ランディングゾーンのリセットを求めるエラーメッセージページが表示されます。AWS Control Tower で他のアクションを実行する前に、ランディングゾーンをリセットする必要があります。
-
AWS Control Tower コンソールでアクションを実行することはできず、 AWS Service Catalog リセットが完了するまで で新しいアカウントを作成することはできません。
-
[ランディングゾーン設定] ページを開いても、そのページに [リセット] ボタンは表示されません。
この状況では、ランディングゾーンのリセットプロセスによって、新しいセキュリティ OU が作成され、2 つの共有アカウントが新しいセキュリティ OU に移動されます。AWS Control Tower は、ログアーカイブアカウントと監査アカウントをドリフト済みとしてマークします。どちらのアカウントでも同じプロセスでドリフトが解決されます。
[Security] (セキュリティ) OU を削除する必要があると判断した場合は、次の点に留意してください。
[Security] (セキュリティ) OU を削除する前に、その OU にアカウントが含まれていないことを確認する必要があります。具体的には、OU からログアーカイブアカウントと監査アカウントを削除する必要があります。これらのアカウントを別の OU に移動することをお勧めします。
注記
セキュリティ OU を削除するアクションは不用意に実行しないでください。ログが一時的に停止されている場合、一部のコントロールが適用されない可能性があるため、このアクションによりコンプライアンスの問題が発生することがあります。
ドリフトに関する一般的な情報については、「AWS Control Tower でドリフトを検出および解決する」の「ドリフトの解決」を参照してください。
セキュリティ OU からのアカウントの削除
組織から共有アカウントを削除したり、[Security] (セキュリティ) OU から共有アカウントを移動したりすることはお勧めしません。誤って共有アカウントを削除した場合は、このセクションの修復ステップに従ってアカウントを復元できます。
-
AWS Control Tower コンソール内から: 修復プロセスを開始するには、半手動修復ステップに従います。AWS Control Tower コンソールへのアクセスに使用するユーザーまたはロールに、
organizations:InviteAccountToOrganizationを実行する許可があることを確認します。このようなアクセス許可がない場合は、AWS Control Tower コンソールと AWS Organizations コンソールの両方を使用する手動修復ステップに従います。 -
AWS Organizations コンソールから開始: この修復プロセスは、少し長く、完全に手動の手順です。手動修復手順に従うと、 AWS Organizations コンソールと AWS Control Tower コンソールが切り替わります。で作業するときは AWS Organizations、
AWSOrganizationsFullAccess管理ポリシーまたは同等のポリシーを持つユーザーまたはロールが必要です。AWS Control Tower コンソールで作業するときは、AWSControlTowerServiceRolePolicyマネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controtower: *) を持つユーザーまたはロールが必要です。 -
修復ステップでアカウントが復元されない場合は、 AWS サポートにお問い合わせください。
共有アカウントの削除の結果 AWS Organizations:
-
AWS Control Tower の必須のコントロールのサービスコントロールポリシー (SCP) によってアカウントが保護されなくなります。結果: AWS Control Tower によってアカウント内に作成されたリソースが変更または削除される場合があります。
-
アカウントは AWS Organizations 管理アカウントの下になくなりました。結果: AWS Organizations 管理アカウントの管理者は、アカウントの支出を可視化できなくなりました。
-
アカウントが によってモニタリングされることは保証されなくなりました AWS Config。結果: AWS Organizations 管理アカウントの管理者は、リソースの変更を検出できない場合があります。
-
アカウントが組織内に存在しなくなります。結果: AWS Control Tower の更新とリセットが失敗します。
AWS Control Tower コンソールを使用して共有アカウントを復元するには (半手動の手順)
-
https://console.aws.amazon.com/controltower
で AWS Control Tower コンソールにサインインします。 organizations:InviteAccountToOrganizationを実行する許可を持つ IAM ユーザー、IAM Identity Center のユーザー、またはロールとしてサインインする必要があります。このような許可がない場合は、このトピックで後述する手動修復ステップを使用してください。 -
[Landing zone drift detected] (ランディングゾーンのドリフトが検出されました) ページで、[Re-Invite] (再招待) を選択して、共有アカウントを組織に再招待することで共有アカウントの削除を修復します。自動的に生成された E メールが、アカウントの E メールアドレスに送信されます。
-
招待を承諾して、共有アカウントを組織に戻します。以下のいずれかを実行します。
-
削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites
に移動します。 -
アカウントを再招待したときに送信された E メールメッセージにアクセスできる場合は、削除したアカウントにサインインし、メッセージ内のリンクをクリックして、アカウントの招待に直接移動します。
-
削除された共有アカウントが別の組織にない場合は、アカウントにサインインし、 AWS Organizations コンソールを開いて招待に移動します。
-
-
管理アカウントに再度サインインするか、AWS Control Tower コンソールが既に開いている場合は再ロードします。[Landing zone drift] (ランディングゾーンドリフト) ページが表示されます。[リセット] を選択してランディングゾーンを修復します。
-
リセットプロセスが完了するまで待ちます。
修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。
修復ステップでアカウントが復元されない場合は、 AWS サポートにお問い合わせください。
AWS Control Tower と AWS Organizations コンソールを使用して共有アカウントを復元するには (手動修復)
-
で AWS Organizations コンソールにサインインしますhttps://console.aws.amazon.com/organizations/
。 AWSOrganizationsFullAccessマネージドポリシーまたは同等のものを持つ IAM ユーザー、IAM Identity Center のユーザー、またはロールとしてサインインする必要があります。 -
共有アカウントを組織に招待し直します。アカウントを招待する要件、前提条件、手順については AWS Organizations、「 ユーザーガイド」の「組織への AWS アカウントの招待」を参照してください。 AWS Organizations
-
削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites
に移動して、招待を承諾します。 -
管理アカウントにもう一度サインインします。。
-
AWSControlTowerServiceRolePolicyマネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controltower:*) を持つユーザーまたはロールとして、AWS Control Tower コンソールにサインインします。 -
[ランディングゾーンのドリフト] ページが表示されます。ここには、ランディングゾーンをリセットするオプションがあります。[リセット] を選択してランディングゾーンを修復します。
-
リセットプロセスが完了するまで待ちます。
修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。
修復ステップでアカウントが復元されない場合は、 AWS サポートにお問い合わせください。
自動的に更新される外部変更
アカウントの E メールアドレスに加えた変更は、AWS Control Tower では自動的に更新されますが、Account Factory では自動的に更新されません。
管理対象アカウントの E メールアドレスの変更
AWS Control Tower は、コンソールエクスペリエンスから求められた E メールアドレスを取得して表示します。したがって、共有アカウントおよびその他のアカウントの E メールアドレスは、変更後も常に更新され、AWS Control Tower に表示されます。
注記
では AWS Service Catalog、プロビジョニング済み製品の作成時にコンソールで指定されたパラメータが Account Factory に表示されます。ただし、元のアカウントの E メールアドレスは変更されても、自動的には更新されません。これは、アカウントがプロビジョニングされた製品に概念的に含まれているためです。プロビジョニングされた製品とは異なります。この値を更新するには、プロビジョニングされた製品を更新する必要があります。これにより、ガバナンス体制が変更される可能性があります。
外部 AWS Config ルールの適用
AWS Control Tower は、AWS Control Tower コンソールの外部でアクティブ化された AWS Config ルールを含め、AWS Control Tower に登録された組織単位にデプロイされたすべてのルールのコンプライアンスステータスを表示します。
AWS Control Tower の外部での AWS Control Tower リソースの削除
AWS Control Tower で OU とアカウントを削除でき、これ以上のアクションを実行することなく更新を確認できます。Account Factory は、OU を削除したときには自動的に更新されますが、アカウントを削除したときには更新されません。
登録済み OU の削除 (セキュリティ OU は除きます)
内では AWS Organizations、 API または コンソールを使用して、空の組織単位 (OUs) を削除できます。アカウントを含む OU は削除できません。
OU が削除され AWS Organizations ると、AWS Control Tower は から通知を受け取ります。また、Account Factory の OU リストが更新されて、登録済み OU のリストの整合性が保たれます。
注記
では AWS Service Catalog、Account Factory が更新され、アカウントをプロビジョニングできる利用可能な OU のリストから削除された OUs が削除されます。
OU からの登録済みアカウントの削除
登録済みアカウントを削除すると、AWS Control Tower に通知が届いて更新が行われます。これにより、情報の整合性が保たれます。
注記
では AWS Service Catalog、管理対象アカウントを表す Account Factory プロビジョニング済み製品は、アカウントを削除するために更新されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、 AWS Service Catalogに移動し、プロビジョニングされた製品を選択してから、[Terminate] (削除) を選択します。
