AWS Control Tower への既存の組織単位の登録 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower への既存の組織単位の登録

複数の既存の AWS アカウントを AWS Control Tower に効率的に取り込む方法は、AWS Control Tower による管理を組織単位 (OU) 全体に拡大することです。

AWS Organizations で作成された既存の OU とそのアカウントを AWS Control Tower で管理できるようにするには、OU を AWS Control Tower ランディングゾーンに登録します。最大 300 個のアカウントが含まれている OU を登録できます。300 を超えるアカウントが含まれている OU は、AWS Control Tower に登録できません。

OU を登録すると、そのメンバーアカウントが AWS Control Tower ランディングゾーンに登録されます。メンバーアカウントは、OU に適用されるコントロールによって管理されます。

注記

AWS Control Tower ランディングゾーンをまだ導入していない場合は、まず AWS Control Tower によって新しく作成される組織または既存の AWS Organizations 組織にランディングゾーンをセットアップします。ランディングゾーンのセットアップ方法の詳細については、「AWS Control Tower の使用開始方法」を参照してください。

OU の登録によるアカウントの処理

AWS Control Tower では AWS CloudFormation と AWS Organizations の間に信頼できるアクセスを確立するための許可が必要になるため、AWS CloudFormation は組織内のアカウントにスタックを自動的にデプロイできます。

  • ステータスが [Not enrolled] (未登録) であるすべてのアカウントに AWSControlTowerExecution ロールが追加されます。

  • OU を登録すると、デフォルトでは OU に対して必須のコントロールが有効になります。

OU 登録後の一部のアカウントの登録

OU を正常に登録できても、一部のアカウントが未登録のままになることがあります。その場合、未登録のアカウントは登録の前提条件の一部を満たしていません。[Register OU] (OU の登録) プロセスの一環としてアカウントの登録が失敗した場合は、アカウントページのアカウントステータスに [Enrollment failed] (登録に失敗しました) と表示されます。OU ページでは、アカウントフィールドに [4 of 5] (4/5) といったアカウント情報が表示されることもあります。

例えば、[4 of 5] と表示されている場合は、[Register OU] (OU の登録) プロセスを実行したところ、OU に全部で 5 個あるアカウントのうち 4 個は正常に登録されたものの、1 個が失敗したということになります。アカウントを登録するには、アカウントが登録の前提条件を満たしていることを確認した後で [Re-Register OU] (OU を再登録) を選択します。

IAM ユーザーが OU を登録するための前提条件

[OU の登録] オペレーションを実行するときには、Admin 許可を既に持っている場合でも、AWS Identity and Access Management (IAM) ID (ユーザーまたはロール) または IAM Identity Center ユーザー ID を適切な Account Factory ポートフォリオに含める必要があります。そうしないと、登録時にプロビジョニング済み製品の作成が失敗します。失敗するのは、AWS Control Tower が OU の登録時に IAM ユーザーまたは IAM Identity Center ユーザー ID の認証情報を利用するためです。

これに関連するポートフォリオは、AWS Control Tower Account Factory Portfolio という AWS Control Tower によって作成されたものです。このポートフォリオに移動するには、[Service Catalog] > [Account Factory] > [AWS Control Tower Account Factory Portfolio] を選択します。次に、[グループ、ロール、およびユーザー] というタブを選択して、IAM または IAM Identity Center ID を表示します。アクセス権を付与する方法の詳細については、「AWS Service Catalog のドキュメント」を参照してください。