AWS Control Tower への既存の組織単位の登録 - AWS Control Tower

AWS Control Tower への既存の組織単位の登録

複数の既存の AWS アカウントを AWS Control Tower に効率的に取り込む方法は、AWS Control Tower による管理を組織単位 (OU) 全体に拡大することです。

AWS Organizations で作成された既存の OU とそのアカウントを AWS Control Tower で管理できるようにするには、OU を AWS Control Tower ランディングゾーンに登録します。最大 300 個のアカウントが含まれている OU を登録できます。300 を超えるアカウントが含まれている OU は、AWS Control Tower に登録できません。

OU を登録すると、そのメンバーアカウントが AWS Control Tower ランディングゾーンに登録されます。メンバーアカウントは、OU に適用されるガードレールによって管理されます。

注記

AWS Control Tower ランディングゾーンをまだ導入していない場合は、まず AWS Control Tower によって新しく作成される組織または既存の AWS Organizations 組織にランディングゾーンをセットアップします。ランディングゾーンのセットアップ方法の詳細については、「AWS Control Tower の使用開始方法」を参照してください。

OU の登録によるアカウントの処理

AWS Control Tower では AWS CloudFormation と AWS Organizations の間に信頼できるアクセスを確立するための許可が必要になるため、AWS CloudFormation は組織内のアカウントにスタックを自動的にデプロイできます。

  • ステータスが [Not enrolled] (未登録) であるすべてのアカウントに AWSControlTowerExecution ロールが追加されます。

  • OU を登録すると、デフォルトでは OU に対して必須のガードレールが有効になります。

OU 登録後の一部のアカウントの登録

OU を正常に登録できても、一部のアカウントが未登録のままになることがあります。その場合、未登録のアカウントは登録の前提条件の一部を満たしていません。[Register OU] (OU の登録) プロセスの一環としてアカウントの登録が失敗した場合は、アカウントページのアカウントステータスに [Enrollment failed] (登録に失敗しました) と表示されます。OU ページでは、アカウントフィールドに [4 of 5] (4/5) といったアカウント情報が表示されることもあります。

例えば、[4 of 5] と表示されている場合は、[Register OU] (OU の登録) プロセスを実行したところ、OU に全部で 5 個あるアカウントのうち 4 個は正常に登録されたものの、1 個が失敗したということになります。アカウントを登録するには、アカウントが登録の前提条件を満たしていることを確認した後で [Re-Register OU] (OU を再登録) を選択します。

IAM ユーザーが OU を登録するための前提条件

[Register OU] (OU の登録) オペレーションを実行するときには、Admin 許可を既に持っている場合でも、AWS Identity and Access Management (IAM) ID (ユーザーまたはロール) を適切な Account Factory ポートフォリオに含める必要があります。そうしないと、登録時にプロビジョニング済み製品の作成が失敗します。失敗するのは、AWS Control Tower が OU の登録時に IAM アイデンティティの認証情報を利用するためです。

これに関連するポートフォリオは、AWS Control Tower Account Factory Portfolio という AWS Control Tower によって作成されたものです。このポートフォリオに移動するには、[Service Catalog] > [Account Factory] > [AWS Control Tower Account Factory Portfolio] を選択します。次に、[Groups, roles, and users] (グループ、ロール、およびユーザー) というタブを選択して、IAM アイデンティティを表示します。アクセス権を付与する方法の詳細については、AWS Service Catalog のドキュメントを参照してください。

登録時または再登録時に発生する障害のよくある原因

OU またはそのいずれかのメンバーアカウントの登録 (または再登録) が失敗した場合は、パスしなかった事前チェックに関する詳細なレポートが含まれているファイルをダウンロードできます。登録領域の右上に表示される [Download] (ダウンロード) ボタンを選択すると、ダウンロードを可尿できます。

このセクションでは、事前チェックが失敗した場合に発生する可能性があるエラーの種類とそのエラーの修正方法について説明します。

一般に、OU を登録または再登録すると、その OU 内のすべてのアカウントが AWS Control Tower に登録されます。ただし、OU 全体が正常に登録されても、一部のアカウントが登録に失敗する場合があります。このような場合は、そのアカウントに関連する事前チェックの失敗を解決して、そのアカウントまたは OU を再登録する必要があります。

ランディングゾーンのエラー

  • ランディングゾーンの準備ができていない

    現在のランディングゾーンを修復するか、最新バージョンに更新してください。

OU エラー

  • SCP の最大数を超えている

    OU あたりのサービスコントロールポリシー (SCP) の制限を超えているか、別のクォータに達している可能性があります。AWS Control Tower ランディングゾーンのすべての OU には、OU あたり 5 個の SCP という制限が適用されます。クォータの許容数を超える SCP がある場合は、SCP を削除または結合する必要があります。

  • SCP の競合

    既存の SCP が OU またはアカウントに適用されているために、AWS Control Tower がアカウントを登録できない可能性があります。適用された SCP を調べて、AWS Control Tower の動作を妨げるポリシーがないか確認してください。階層の上位にある OU から継承された SCP を確認してください。

  • スタックセットのクォータを超えている

    スタックセットのクォータを超えている可能性があります。クォータの許容数を超えるインスタンスがある場合は、スタックインスタンスをいくつか削除する必要があります。詳細については、「AWS CloudFormation ユーザーガイド」の「AWS CloudFormation のクォータ」を参照してください。

  • アカウントの上限を超えている

    AWS Control Tower では、登録時に各 OU を 298 アカウントに制限しています。

アカウントエラー

  • アカウントで事前チェックが禁止されている

    OU 上の既存の SCP が原因で、AWS Control Tower が OU メンバーアカウントに対して事前チェックを実行できません。この事前チェックの失敗を解決するには、OU を更新するか、OU から SCP を削除します。

  • E メールアドレスのエラー

    アカウントに指定した E メールアドレスが命名基準に準拠していません。許可される文字を正規表現 (regex) で指定するは、[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+ を使用します。

  • 設定レコーダーまたは配信チャネルが有効

    アカウントに既存の AWS Config 設定レコーダーまたは配信チャネルがある可能性があります。アカウントを登録するには、AWS Control Tower 管理アカウントがリソースを管理しているすべての AWS リージョンで AWS CLI を使用して、これらを削除または変更する必要があります。

  • STS が無効

    AWS Security Token Service (AWS STS) がアカウントで無効になっている可能性があります。AWSSTS エンドポイントは、AWS Control Tower でサポートされているすべてのリージョンのアカウントでアクティブ化する必要があります。

  • IAM Identity Center の競合

    AWS Control Tower ホームリージョンが AWS IAM Identity Center (successor to AWS Single Sign-On) (IAM Identity Center) リージョンと同じではありません。IAM Identity Center が既にセットアップされている場合、AWS Control Tower ホームリージョンは IAM Identity Center リージョンと同じである必要があります。

  • SNS トピックが競合している

    アカウントには、AWS Control Tower で使用する必要がある Amazon Simple Notification Service (Amazon SNS) トピック名があります。AWS Control Tower は、特定の名前を付けてリソース (SNS トピックなど) を作成します。このような名前が既に取得されている場合は、AWS Control Tower のセットアップが失敗します。こうした状況は、AWS Control Tower に以前に登録されたアカウントを再利用している場合に発生する可能性があります。

  • 一時停止中のアカウントが検出される

    このアカウントは停止しています。AWS Control Tower に登録することはできません。アカウントをこの OU から削除してから再試行してください。

  • IAM ユーザーがポートフォリオにない

    OU を登録する前に、AWS Identity and Access Management (IAM) ユーザーを AWS Service Catalog ポートフォリオに追加します。このエラーは、管理アカウントにのみ関係します。

  • アカウントが前提条件を満たしていない

    アカウントがアカウント登録の前提条件を満たしていません。例えば、アカウントに AWS Control Tower に登録するために必要なロールと許可が不足している可能性があります。ロールを追加する手順については、「必要な IAM ロールを既存の AWS アカウントに手動で追加し、登録します。」を参照してください。

繰り返しになりますが、AWS CloudTrail はすべての AWS アカウントでそのアカウントを AWS Control Tower に登録するときに自動的に有効になります。登録前のアカウントで CloudTrail が有効になっている場合は、登録プロセスを開始する前に CloudTrail を非アクティブ化しない限り、二重請求が発生する可能性があります。