AWS Control Tower に既存の組織ユニットを登録する - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower に既存の組織ユニットを登録する

複数の既存の AWS アカウントを AWS Control Tower に持ち込む効率的な方法は、ガバナンスの拡張AWS Control Tower によって組織単位 (OU) 全体に適用します。

AWS Organizations とそのアカウントで作成された既存の OU に対する AWS Control Tower のガバナンスを有効にするには、登録OU と AWS Control Tower のlanding zone します。最大 300 のアカウントを含む OU を登録できます。OU に 300 を超えるアカウントが含まれている場合、AWS Control Tower に登録することはできません。

OU を登録すると、そのメンバーアカウントは AWS Control Tower のlanding zone に登録されます。これらは、OU に適用されるガードレールによって管理されます。

注記

AWS Control Tower のlanding zone をまだお持ちでない場合は、AWS Control Tower によって作成された新しい組織または既存の AWS Organizations でランディングゾーンを設定します。Llanding zone を設定する方法の詳細については、「」を参照してください。AWS Control Tower の使用を開始する方法

OU を登録すると、アカウントはどうなりますか?

AWS Control Tower には、AWS CloudFormation と AWS Organizations との間に信頼されたアクセスを確立するアクセス許可が必要です。これにより、AWS CloudFormation は、スタックを組織内のアカウントに自動的にデプロイできるようになります。

  • -AWSControlTowerExecutionロールが、ステータスが登録されていません

  • OU を登録すると、OU とそのすべてのアカウントにデフォルトで有効になっています。

OU の登録後のアカウントの部分的な登録

OU を正常に登録することは可能ですが、一部のアカウントは登録解除されたままです。その場合、これらのアカウントは登録の前提条件の一部を満たしていません。アカウント登録がOU の登録プロセスが成功しない場合、[アカウント] ページのアカウントのステータスに登録に失敗しました。また、OU ページには、次のようなアカウント情報が表示されることがあります。5 の 4] の [アカウント] フィールドに表示されます。

たとえば、5 の 4の場合、OU には合計で 5 つのアカウントがあり、そのうちの 4 つのアカウントは正常に登録されていますが、OU の登録プロセス。以下を選択することもできます。OU の再登録を使用してアカウントを登録するには、アカウントが登録の前提条件を満たしていることを確認した後でアカウントを登録します。

OU を登録するための IAM ユーザーの前提条件

AWS Identity and Access Management (IAM) ユーザーは、Account Factory ポートフォリオに含める必要があります。OU の登録操作を既に持っていてもAdminアクセス許可。そうしないと、登録中にプロビジョニングされた製品の作成が失敗します。

既存の OU を登録する

AWS Control Tower コンソールで、組織単位ページでは、AWS Control Tower に登録されている OU や登録されていない OU など、すべての組織を表示できます。最大 300 のアカウントを含む OU を登録できます。OU に 300 を超えるアカウントが含まれている場合、AWS Control Tower に登録することはできません。

既存の OU を登録するには

  1. AWS Control Tower コンソールにサインインします。https://console.aws.amazon.com/controltower

  2. 左ペインのナビゲーションメニューで組織単位

  3. リポジトリの []組織単位ページで、登録する OU の横にあるラジオボタンを選択します。

  4. 右上の [OU の登録

登録プロセスには、OU にガバナンスを拡張するのに最低 10 分、追加アカウントごとに最大 2 分かかります。

既存の OU の登録の影響

既存の OU を登録すると、AWSControlTowerExecutionロールを使用すると、AWS Control Tower は個々のアカウントにガバナンスを拡張できます。ガードレールが適用され、アカウントのアクティビティに関する情報が、監査アカウントおよびロギングアカウントに報告されます。

その他の効果としては、以下のようなものがある。

  • AWSControlTowerExecution を使用すると、AWS Control Tower 監査アカウントによる監査が可能になります。

  • AWSControlTowerExecutionでは、各アカウントのすべてのログがロギングアカウントに送信されるよう、組織のロギングを設定できます。

  • AWSControlTowerExecutionでは、選択した AWS Control Tower ガードレールが、OU 内の各個別アカウント、および AWS Control Tower で作成するすべての新規アカウントに自動的に適用されることが確認されています。

登録された OU の場合、AWS Control Tower ガードレールによって具体化される監査機能とロギング機能に基づいて、コンプライアンスレポートとセキュリティレポートを提供できます。セキュリティチームとコンプライアンスチームは、すべての要件が満たされていること、組織ドリフトが発生していないことを確認できます。ドリフトの詳細については、「」を参照してください。AWS Control Tower のドリフトを検出して解決

注記

AWS Control Tower が OU とそのアカウントを表示すると、異常な状況が発生することがあります。登録済みの OU にアカウントを作成した後、登録済みアカウントを登録されていない別の OU に移動した場合、特に AWS Organizations を使用してアカウントを移動する場合、OU の詳細ページに「1/0」のアカウントが表示されます。さらに、登録されていない OU に別の登録されていないアカウントを作成した可能性があります。未登録のアカウントがある場合、コンソールは OU の「1/1」と表示されることがあります。単一の(新しく作成された)アカウントが登録されているように見えますが、実際には登録されていません。新しいアカウントを登録する必要があります。

既存の OU とアカウントの更新

landing zone 更新を実行するときは、登録済みのアカウントを更新して、新しいガードレールをそれらのアカウントに適用する必要があります。OU 内のすべてのアカウントを更新するには、再登録オプション。landing zone に複数の登録済みの OU がある場合は、すべての OU を再登録して、すべてのアカウントを更新します。1 つのアカウントを更新するには、プロビジョニングされた製品の更新AWS Service Catalog のオプションを使用します。

複数のアカウントを更新するには

  1. AWS Control Tower コンソールにサインインします。https://console.aws.amazon.com/controltower

  2. 左ペインのナビゲーションメニューで組織単位

  3. リポジトリの []組織単位ページで、登録された OU を選択して詳細ページを表示します。

  4. []詳細右上の [OU の再登録

OU の再登録の影響

  • -フィールドは、アカウントが現在 AWS Control Tower に登録されているかどうかを示します(登録された)、アカウントが一度も登録されていないかどうか (登録されていません)、または以前に登録が失敗したかどうか (登録に失敗しました).

  • OU を再登録すると、AWSControlTowerExecutionロールが、ステータスが登録されていませんまたは登録に失敗しました

  • AWS Control Tower は、新しく登録されたアカウントのシングルサインオン (SSO) ログインを作成します。

  • 登録されたアカウントは AWS Control Tower に再登録されます。

  • OU に適用される予防ガードレールのドリフトは固定されています。

  • すべてのアカウントは、最新のlanding zone 変更を反映するように更新されます。

詳細については、「Enroll an existing AWS account」を参照してください。

1 つのアカウントを更新するには

  1. AWS Service Catalog に移動します。

  2. 左ペインのナビゲーションメニューでプロビジョニングされた製品

  3. リポジトリの []プロビジョニングされた製品ページで、更新するプロビジョニングされた製品の横にあるラジオボタンを選択します。

  4. 右上の [アクションドロップダウンを更新

AWS Service Catalog での更新の詳細については、を参照してください。https://docs.aws.amazon.com/servicecatalog/latest/adminguide/productmgmt-update.html

登録または再登録時の失敗の一般的な原因

OU またはそのメンバーアカウントの登録(または再登録)が失敗した場合は、fileには、どの事前チェックに合格しなかったかを示す詳細なレポートが含まれています。このセクションでは、事前チェックが失敗した場合に発生する可能性のあるエラーの種類と、エラーの修正方法について説明します。

一般に、OU を登録または再登録すると、その OU 内のすべてのアカウントが AWS Control Tower に登録されます。ただし、OU 全体が正常に登録されていても、一部のアカウントは登録に失敗する可能性があります。このような場合は、アカウントに関連する事前チェックの失敗を解決し、そのアカウントを再登録するには、登録ユーザーフォームを AWS Control Tower コンソールで設定します。

ランディングゾーンのエラー

  • 踊り場ゾーンの準備ができていません

    現在のlanding zone を修復するか、最新バージョンに更新します。

OU エラー

  • Nested OU

    AWS Control Tower は、ネストされた OU をサポートしていません。ネストされた OU をルートレベルで再作成し、ネストされた OU から新しい OU にアカウントを移動し、ネストされた OU を削除します。次に、この OU を再度登録してみてください。

  • SCPの最大数を超えています

    OU あたりのサービスコントロールポリシー (SCP) の制限を超えているか、別のクォータに達している可能性があります。AWS Control Tower landing zone 内のすべての OU には、OU あたり 5 個の SCP の制限が適用されます。クォータが許す数を超える SCP がある場合は、SCPを削除するか、組み合わせる必要があります。

  • Conflict SCPs

    既存の SCP をアカウントに適用すると、AWS Control Tower がアカウントを登録できなくなります。適用された SCP をチェックして、AWS Control Tower が機能しないポリシーがないか確認します。

  • スタックセットのクォータを超えています

    スタックセットクォータを超過した可能性があります。スタックあたり最大 2,000 のインスタンスを持つことができます。クォータで許可されている数よりも多くのインスタンスがある場合は、いくつかのスタックインスタンスを削除する必要があります。詳細については、「」を参照してください。AWS CloudFormation のクォータ()AWS CloudFormation ユーザーガイド

  • アカウントの制限を超えています

    AWS Control Tower では、登録時に各 OU を 300 アカウントに制限しています。

アカウントのエラー

  • アカウントの事前チェックが禁止

    OU の既存の SCP により、AWS Control Tower が OU メンバーアカウントの事前チェックを実行できなくなります。この事前チェックの失敗を解決するには、OU から SCP を更新または削除します。

  • E メールアドレスのエラー

    アカウントに指定した E メールアドレスは、命名規則に準拠していません。使用できる文字を指定する正規表現 (regex) は次のとおりです。[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • Config レコーダーまたは配信チャネルが有効

    アカウントには、既存の AWS Config 設定レコーダーまたは配信チャネルがある場合があります。アカウントを登録する前に、すべての AWS リージョンの AWS CLI を使用してこれらを削除する必要があります。

  • STS 無効

    AWS Security Token Service (AWS STS) は、アカウント内で無効になっている場合があります。AWS STS エンドポイントは、AWS Control Tower でサポートされているすべてのリージョンのアカウントでアクティブ化する必要があります。

  • SSO の競合

    AWS Control Tower ホームリージョンは、AWS Single Sign-On (AWS SSO) リージョンとは異なります。AWS SSO がすでにセットアップされている場合、AWS Control Tower ホームリージョンは AWS SSO リージョンと同じであることが必要です。

  • Conflict SNS トピック

    アカウントには、AWS Control Tower が使用する必要がある Amazon Simple Notification Service (Amazon SNS) トピック名があります。AWS Control Tower は、特定の名前を持つリソース(SNS トピックなど)を作成します。これらの名前が既に使用されている場合、AWS Control Tower のセットアップは失敗します。この状況は、以前に AWS Control Tower に登録されているアカウントを再利用する場合に発生する可能性があります。

  • 停止しているアカウントが検出されました

    このアカウントは停止しています。AWS Control Tower に登録することはできません。この OU からアカウントを削除して、再度お試しください。

  • ポートフォリオに含まれていない IAM ユーザー

    OU を登録する前に、AWS Identity and Access Management (IAM) ユーザーを AWS Service Catalog ポートフォリオに追加します。

  • アカウントは前提条件を満たしていません

    アカウントがアカウント登録の前提条件を満たしていません。たとえば、アカウントに AWS Control Tower に登録するために必要なロールと権限がない可能性があります。ロールの追加手順については、Manually add the required IAM role to an existing AWS account and enroll it

AWS AWS Control Tower に登録すると、すべての AWS アカウントで AWS CloudTrail が自動的に有効になります。登録前のアカウントで CloudTrail が有効になっている場合、登録プロセスを開始する前に CloudTrail を無効化しない限り、二重請求が発生する可能性があります。