AWS Control Tower の外部でリソースを管理する場合 - AWS Control Tower
AWS Control Tower の外部にあるリソースの参照AWS Control Tower の外部でのリソース名の変更セキュリティ OU の削除セキュリティ OU からのアカウントの削除自動的に更新される外部変更

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower の外部でリソースを管理する場合

AWS Control Tower はお客様に代わってアカウント、組織単位、その他のリソースをセットアップしますが、これらのリソースの所有者はお客様です。これらのリソースは、AWS Control Tower の内部または外部で変更できます。AWS Control Tower の外部でリソースを変更する最も一般的な場所は、 AWS Organizations コンソールです。このトピックでは、AWS Control Tower の外部で変更を行う場合に、AWS Control Tower リソースへの変更を調整する方法について説明します。

AWS Control Tower コンソールの外部でリソースの名前変更、削除、移動を行うと、コンソールが同期しなくなります。変更の多くは自動的に調整されます。変更によっては、ランディングゾーンを修復して、AWS Control Tower コンソールに表示される情報を更新する必要があります。

一般に、AWS Control Tower コンソールの外部で AWS Control Tower リソースに加えた変更により、ランディングゾーンで修復可能なドリフトが発生します。これらの変更の詳細については、「リソースへの修復可能な変更」を参照してください。

ランディングゾーンの修復が必要なタスク

  • セキュリティ OU の削除 (特殊なケースであるため、不用意に行わないでください)

  • セキュリティ OU からの共有アカウントの削除 (非推奨)

  • セキュリティ OU に関連付けられた SCP の更新、アタッチ、またはデタッチ。

AWS Control Tower によって自動的に更新される変更

  • 登録済みアカウントの E メールアドレスの変更

  • 登録済みアカウントの名前変更

  • 新しい最上位の組織単位 (OU) の作成

  • 登録済み OU の名前変更

  • 登録済み OU の削除 (更新が必要なセキュリティ OU は除きます)

  • 登録済みアカウントの削除 (セキュリティ OU の共有アカウントは除きます)

注記

AWS Service Catalog は、AWS Control Tower とは異なる方法で変更を処理します。 は、変更を照合するときにガバナンス体制の変更を作成する AWS Service Catalog 場合があります。プロビジョニング済み製品の更新の詳細については、 AWS Service Catalog ドキュメントの「プロビジョニング済み製品の更新」を参照してください。

AWS Control Tower の外部にあるリソースの参照

AWS Control Tower の外部で新しい OU とアカウントを作成した場合は、それらが表示されていても、AWS Control Tower の管理対象外となります。

OU の作成

AWS Control Tower の外部で作成された組織単位 (OU) は未登録と見なされます。そうした OU は、[Organization] (組織) ページに表示されますが、AWS Control Tower コントロールの管理対象外となります。

アカウントの作成

AWS Control Tower の外部で作成されたアカウントは未登録と見なされます。AWS Control Tower に登録済みの OU に属する登録済みアカウントと未登録アカウントは、[Organization] (組織) ページに表示されます。登録済み OU に属していないアカウントは、 AWS Organizations コンソールを使用して招待できます。この招待の目的は、アカウントを AWS Control Tower に登録したり、AWS Control Tower の管理対象をアカウントに拡大したりすることではありません。アカウントを登録して管理対象を拡大するには、AWS Control Tower で [Organization] (組織) ページまたは [Account detail] (アカウント詳細) に移動し、 [Enroll account] (アカウントを登録) を選択します。

AWS Control Tower の外部でのリソース名の変更

AWS Control Tower コンソールの外部で組織単位 (OU) とアカウントの名前を変更できます。変更すると、その変更を反映するためにコンソールが自動的に更新されます。

OU の名前変更

では AWS Organizations、 AWS Organizations API またはコンソールを使用して OU の名前を変更できます。AWS Control Tower の外部で OU 名を変更すると、AWS Control Tower コンソールに名前の変更が自動的に反映されます。ただし、AWS Service Catalog を使用してアカウントをプロビジョニングする場合、AWS Control Tower が と整合性を保つようにランディングゾーンも修復する必要があります AWS Organizations。[Repair] (修復) ワークフローにより、基礎 OU と追加 OU のサービス間で整合性が保たれます。このタイプのドリフトは、[Landing zone settings] (ランディングゾーン設定) ページから修復できます。「AWS Control Tower でドリフトを検出および解決する」の「ドリフトの解決」を参照してください。

AWS Control Tower ダッシュボードの [Organization] (組織) ページに OU の名前が表示されます。ランディングゾーン修復が正常に完了したことを確認できます。

登録済みアカウントの名前変更

各 AWS アカウントの表示名は、アカウントのルートユーザーが AWS Billing and Cost Management コンソールで変更できます。AWS Control Tower に登録されているアカウントの名前を変更すると、その名前変更が AWS Control Tower に自動的に反映されます。アカウント名の変更の詳細については、「 AWS 請求ユーザーガイド」のAWS 「アカウントの管理」を参照してください。

セキュリティ OU の削除

このタイプのドリフトは特殊なケースです。[Security] (セキュリティ) OU を削除すると、ランディングゾーンの修復を求めるエラーメッセージページが表示されます。AWS Control Tower で他のアクションを実行する前に、ランディングゾーンを修復する必要があります。

  • AWS Control Tower コンソールでアクションを実行することはできず、 AWS Service Catalog 修復が完了するまで で新しいアカウントを作成することはできません。

  • [Landing zone settings] (ランディングゾーン設定) ページを開いても、そのページに [Repair] (修復) ボタンは表示されません。

この状況では、ランディングゾーンの修復プロセスによって、新しいセキュリティ OU が作成され、2 つの共有アカウントが新しいセキュリティ OU に移動されます。AWS Control Tower は、ログアーカイブアカウントと監査アカウントをドリフト済みとしてマークします。これと同じプロセスによって、どちらのアカウントでもドリフトが修復されます。

[Security] (セキュリティ) OU を削除する必要があると判断した場合は、次の点に留意してください。

[Security] (セキュリティ) OU を削除する前に、その OU にアカウントが含まれていないことを確認する必要があります。具体的には、OU からログアーカイブアカウントと監査アカウントを削除する必要があります。これらのアカウントを別の OU に移動することをお勧めします。

注記

セキュリティ OU を削除するアクションは不用意に実行しないでください。ログが一時的に停止されている場合、一部のコントロールが適用されない可能性があるため、このアクションによりコンプライアンスの問題が発生することがあります。

ドリフトに関する一般的な情報については、「AWS Control Tower でドリフトを検出および解決する」の「ドリフトの解決」を参照してください。

セキュリティ OU からのアカウントの削除

組織から共有アカウントを削除したり、[Security] (セキュリティ) OU から共有アカウントを移動したりすることはお勧めしません。誤って共有アカウントを削除した場合は、このセクションの修復ステップに従ってアカウントを復元できます。

  • AWS Control Tower コンソール内から: 修復プロセスを開始するには、半手動修復ステップに従います。AWS Control Tower コンソールへのアクセスに使用するユーザーまたはロールに、organizations:InviteAccountToOrganization を実行する許可があることを確認します。このようなアクセス許可がない場合は、AWS Control Tower コンソールと AWS Organizations コンソールの両方を使用する手動修復手順に従ってください。

  • AWS Organizations コンソールから開始: この修復プロセスは、少し長く、完全に手動の手順です。手動修復ステップに従うと、 AWS Organizations コンソールと AWS Control Tower コンソールが切り替わります。で作業するときは AWS Organizations、 AWSOrganizationsFullAccessマネージドポリシーまたは同等のものを持つユーザーまたはロールが必要です。AWS Control Tower コンソールで作業するときは、AWSControlTowerServiceRolePolicy マネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controtower: *) を持つユーザーまたはロールが必要です。

  • 修復ステップでアカウントが復元されない場合は、 AWS Supportにお問い合わせください。

を通じて共有アカウントを削除した結果 AWS Organizations:

  • AWS Control Tower の必須のコントロールのサービスコントロールポリシー (SCP) によってアカウントが保護されなくなります。結果: AWS Control Tower によってアカウント内に作成されたリソースが変更または削除される場合があります。

  • アカウントは AWS Organizations 管理アカウントの下にはなくなりました。結果: AWS Organizations 管理アカウントの管理者は、アカウントの支出を把握できなくなりました。

  • アカウントが によって監視されることは保証されなくなりました AWS Config。結果: AWS Organizations 管理アカウントの管理者は、リソースの変更を検出できない場合があります。

  • アカウントが組織内に存在しなくなります。結果: AWS Control Tower の更新と修復が失敗します。

AWS Control Tower コンソールを使用して共有アカウントを復元するには (半手動の手順)

  1. https://console.aws.amazon.com/controltower で AWS Control Tower コンソールにサインインします。organizations:InviteAccountToOrganization を実行する許可を持つ IAM ユーザー、IAM Identity Center のユーザー、またはロールとしてサインインする必要があります。このような許可がない場合は、このトピックで後述する手動修復ステップを使用してください。

  2. [Landing zone drift detected] (ランディングゾーンのドリフトが検出されました) ページで、[Re-Invite] (再招待) を選択して、共有アカウントを組織に再招待することで共有アカウントの削除を修復します。自動的に生成された E メールが、アカウントの E メールアドレスに送信されます。

  3. 招待を承諾して、共有アカウントを組織に戻します。以下のいずれかを実行します。

    • 削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites に移動します。

    • アカウントを再招待したときに送信された E メールメッセージにアクセスできる場合は、削除したアカウントにサインインし、メッセージ内のリンクをクリックして、アカウントの招待に直接移動します。

    • 削除された共有アカウントが別の組織にない場合は、アカウントにサインインし、 AWS Organizations コンソールを開き、招待 に移動します。

  4. 管理アカウントに再度サインインするか、AWS Control Tower コンソールが既に開いている場合は再ロードします。[Landing zone drift] (ランディングゾーンドリフト) ページが表示されます。[Repair] (修復) を選択してランディングゾーンを修復します。

  5. 修復プロセスが完了するまで待ちます。

修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。

修復ステップでアカウントが復元されない場合は、 AWS Supportにお問い合わせください。

AWS Control Tower と AWS Organizations コンソールを使用して共有アカウントを復元するには (手動修復)

  1. で AWS Organizations コンソールにサインインしますhttps://console.aws.amazon.com/organizations/AWSOrganizationsFullAccess マネージドポリシーまたは同等のものを持つ IAM ユーザー、IAM Identity Center のユーザー、またはロールとしてサインインする必要があります。

  2. 共有アカウントを組織に招待し直します。アカウントを に招待する要件、前提条件、手順については AWS Organizations、「 ユーザーガイド」の「組織への AWS アカウントの招待」を参照してください。 AWS Organizations

  3. 削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites に移動して、招待を承諾します。

  4. 管理アカウントにもう一度サインインします。。

  5. AWSControlTowerServiceRolePolicy マネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controltower:*) を持つユーザーまたはロールとして、AWS Control Tower コンソールにサインインします。

  6. [Landing zone drift] (ランディングゾーンドリフト) ページが表示されます。ここには、ランディングゾーンを修復するオプションがあります。[Repair] (修復) を選択してランディングゾーンを修復します。

  7. 修復プロセスが完了するまで待ちます。

修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。

修復ステップでアカウントが復元されない場合は、 AWS Supportにお問い合わせください。

自動的に更新される外部変更

アカウントの E メールアドレスに加えた変更は、AWS Control Tower では自動的に更新されますが、Account Factory では自動的に更新されません。

管理対象アカウントの E メールアドレスの変更

AWS Control Tower は、コンソールエクスペリエンスから求められた E メールアドレスを取得して表示します。したがって、共有アカウントおよびその他のアカウントの E メールアドレスは、変更後も常に更新され、AWS Control Tower に表示されます。

注記

では AWS Service Catalog、プロビジョニング済み製品を作成したときにコンソールで指定されたパラメータが Account Factory に表示されます。ただし、元のアカウントの E メールアドレスは変更されても、自動的には更新されません。これは、アカウントがプロビジョニングされた製品に概念的に含まれているためです。プロビジョニングされた製品とは異なります。この値を更新するには、プロビジョニングされた製品を更新する必要があります。これにより、ガバナンス体制が変更される可能性があります。

外部 AWS Config ルールの適用

AWS Control Tower は、AWS Control Tower コンソールの外部でアクティブ化された AWS Config ルールを含め、AWS Control Tower に登録された組織単位にデプロイされたすべてのルールのコンプライアンスステータスを表示します。

AWS Control Tower の外部での AWS Control Tower リソースの削除

AWS Control Tower で OU とアカウントを削除でき、これ以上のアクションを実行することなく更新を確認できます。Account Factory は、OU を削除したときには自動的に更新されますが、アカウントを削除したときには更新されません。

登録済み OU の削除 (セキュリティ OU は除きます)

内では AWS Organizations、 API またはコンソールを使用して、空の組織単位 (OUsを削除できます。アカウントを含む OU は削除できません。

OU が削除され AWS Organizations ると、AWS Control Tower は から通知を受け取ります。また、Account Factory の OU リストが更新されて、登録済み OU のリストの整合性が保たれます。

注記

では AWS Service Catalog、Account Factory が更新され、アカウントをプロビジョニングできる利用可能な OU のリストから削除された OUs が削除されます。

OU からの登録済みアカウントの削除

登録済みアカウントを削除すると、AWS Control Tower に通知が届いて更新が行われます。これにより、情報の整合性が保たれます。

注記

では AWS Service Catalog、管理対象アカウントを表す Account Factory でプロビジョニングされた製品は、アカウントを削除するために更新されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、 AWS Service Catalogに移動し、プロビジョニングされた製品を選択してから、[Terminate] (削除) を選択します。