翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
前提条件: 管理アカウントの起動前自動チェック
AWS Control Tower では、ランディングゾーンをセットアップする前に、アカウントで一連の起動前チェックが自動的に実行されます。これらのチェックは、ランディングゾーンを確立する変更に管理アカウントが対応できることを確認するためのものであり、お客様側のアクションは必要ありません。ランディングゾーンをセットアップする前に AWS Control Tower が実行するチェックは次のとおりです。
-
の既存のサービス制限は、AWS Control Tower を起動するのに十分 AWS アカウント である必要があります。詳細については、「AWS Control Tower の制限とクォータ」を参照してください。
-
は以下の AWS サービスにサブスクライブ AWS アカウント する必要があります。
-
Amazon Simple Storage Service (Amazon S3)
-
Amazon Elastic Compute Cloud (Amazon EC2)
-
Amazon SNS
-
Amazon Virtual Private Cloud (Amazon VPC)
-
AWS CloudFormation
-
AWS CloudTrail
-
Amazon CloudWatch
-
AWS Config
-
AWS Identity and Access Management (IAM)
-
AWS Lambda
注記
デフォルトでは、すべてのアカウントがこれらのサービスに登録されています。
-
AWS IAM Identity Center (IAM Identity Center) のお客様にとっての考慮事項
-
AWS IAM Identity Center (IAM Identity Center) が既に設定されている場合、AWS Control Tower ホームリージョンは IAM Identity Center リージョンと同じである必要があります。
-
IAM Identity Center は、組織の管理アカウントにのみインストールできます。
-
選択した ID ソースに基づいて、次の 3 つのオプションが IAM Identity Center ディレクトリに適用されます。
-
IAM Identity Center ユーザーストア: SSO for AWS Control Tower が IAM Identity Center でセットアップされている場合、AWS Control Tower は IAM Identity Center ディレクトリにグループを作成し、メンバーアカウント用に選択したユーザーに対してこれらのグループへのアクセスをプロビジョニングします。
-
Active Directory: IAM Identity Center for AWS Control Tower が Active Directory でセットアップされている場合、AWS Control Tower は IAM Identity Center ディレクトリを管理しません。新規 AWS アカウントにユーザーやグループを割り当てません。
-
外部 ID プロバイダー: AWS Control Tower for IAM Identity Center が外部 ID プロバイダー (IdP) でセットアップされている場合、AWS Control Tower は IAM Identity Center ディレクトリにグループを作成し、メンバーアカウント用に選択したユーザーに対してこれらのグループへのアクセスをプロビジョニングします。アカウントの作成時に Account Factory の外部 IdP から既存のユーザーを指定できます。AWS Control Tower は、IAM Identity Center と外部 IdP 間で同じ名前のユーザーを同期するときに、その新しく発行されたアカウントへのアクセス許可を指定されたユーザーに付与します。AWS Control Tower のデフォルトグループの名前と一致するように外部 IdP にグループを作成することもできます。これらのグループにユーザーを割り当てると、ユーザーが登録済みのアカウントにアクセスできるようになす。
IAM Identity Center および AWS Control Tower の使用に関する詳細については、「IAM Identity Center アカウントと AWS Control Tower に関する注意事項」を参照してください。
-
および AWS CloudTrail のお客様にとって AWS Config の考慮事項
-
では、 AWS Config または の組織管理アカウントで信頼されたアクセスを有効にする AWS アカウント ことはできません CloudTrail。信頼されたアクセスを無効にする方法については、信頼されたアクセスを有効または無効にする方法に関する AWS Organizations ドキュメントを参照してください。
-
AWS Control Tower に登録する予定の既存のアカウントに既存の AWS Config レコーダー、配信チャネル、または集約が設定されている場合は、ランディングゾーンの設定後にアカウントの登録を開始する前に、これらの設定を変更または削除する必要があります。この事前チェックは、ランディングゾーンの起動時に AWS Control Tower 管理アカウントには適用されません。詳細については、「既存の AWS Config リソースを持つアカウントを登録する」を参照してください。
-
AWS Control Tower のアカウントからエフェメラルワークロードを実行している場合、 AWS Config に関連するコストが増加する可能性があります。これらのコストの管理の詳細については、 AWS アカウント担当者にお問い合わせください。
-
AWS Control Tower にアカウントを登録すると、そのアカウントは AWS Control Tower 組織の AWS CloudTrail 証跡によって管理されます。アカウントに既存の CloudTrail 証跡のデプロイがある場合、AWS Control Tower に登録する前にアカウントの既存の証跡を削除しない限り、料金が重複して発生する可能性があります。組織レベルの追跡と AWS Control Tower の詳細については、「料金」を参照してください。
注記
起動時に、AWS Control Tower によって管理されるすべてのリージョンの管理アカウントで AWS セキュリティトークンサービス (STS) エンドポイントをアクティブ化する必要があります。この操作を行わないと、設定プロセスの途中で起動が失敗する可能性があります。