プロビジョニングの方法

AWS Control Tower には、メンバーアカウントを作成および更新するための方法が複数用意されています。一部の方法は主にコンソールベースで、一部の方法は主に自動化されています。

概要

メンバーアカウントを作成するための標準的な方法は、Account Factory を使用することです。Account Factory は、Service Catalog に含まれるコンソールベースの製品です。ランディングゾーンがドリフト状態でない場合は、アカウントの作成をコンソールから新しいアカウントを追加する方法として使用できます。また、アカウントを登録して既存の AWS アカウントを AWS Control Tower に登録することもできます。

Account Factory を使用すると、AWS Control Tower のデフォルト設定に基づいてベーシックアカウントをプロビジョニングできます。また、特殊なユースケースの要件を満たすカスタマイズされたアカウントをプロビジョニングすることもできます。

Account Factory Customization (AFC) は、カスタマイズされたアカウントを AWS Control Tower コンソールからプロビジョニングする手段を提供し、アカウントのカスタマイズとデプロイを自動化します。1 回限りのセットアップのためのいくつかのステップを実行すると、コンソールベースの自動プロビジョニングを使用できるようになり、スクリプトの作成やパイプラインの設定は不要となります。詳細については、「Account Factory Customization (AFC) を使用したアカウントのカスタマイズ」を参照してください。

コンソールベースの方法:

• 基本アカウントまたはカスタマイズされたアカウントについては AWS Service Catalog、 の一部である Account Factory コンソールから。詳細と手順については、「Account Factory でのアカウントのプロビジョニングと管理」を参照してください。

• AWS Control Tower 内の [Enroll account] (アカウントの登録) 機能を使用します (ランディングゾーンがドリフト状態でない場合)。「既存のアカウントを登録する」を参照してください。

• AWS Control Tower コンソールでは、Account Factory を使用して、同時に最大 5 つのアカウントを作成、更新、または登録できます。

自動化された方法:

• Lambda コード: AWS Control Tower ランディングゾーンの管理アカウントから、Lambda コードと適切な IAM ロールを使用します。「IAM ロールによる自動アカウントプロビジョニング」を参照してください。

• Terraform: Account Factory と GitOps モデルに依存してアカウントのプロビジョニングと更新を自動化する AWS Control Tower Account Factory for Terraform (AFT) から。 AWS Control Tower Account Factory for Terraform (AFT) によるアカウントのプロビジョニング を参照してください。

• AWS Control Tower コンソールの Account Factory Customization: セットアップのステップの実行後は、カスタマイズされたアカウントの今後のプロビジョニングで、設定を追加したり、パイプラインを維持したりする必要はありません。アカウントは、設計図 と呼ばれる AWS Service Catalog 製品によってプロビジョニングされます。設計図では、 AWS CloudFormation テンプレートまたは Terraform テンプレートを使用できます。

  注記

  AWS CloudFormation ブループリントは、複数のリージョンにリソースをデプロイできます。Terraform ブループリントでは、1 つのリージョンにのみリソースをデプロイできます。デフォルトでは、それはホームリージョンです。