既存のアカウントを登録する - AWS Control Tower
アカウントを登録する手順登録の失敗の一般的な原因

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

既存のアカウントを登録する

アカウント登録機能は AWS Control Tower コンソールで利用できます。 AWS アカウント 既存のアカウントを登録すると、AWS Control Tower によって管理されます。詳細については、「既存のものを登録する」を参照してください。 AWS アカウント

[Enroll account] (アカウントの登録) 機能は、ランディングゾーンがドリフト状態でないときに使用できます。コンソールでこの機能を表示するには:

  • AWS Control Tower の [Organization] (組織) ページに移動します。

  • 登録するアカウントの名前を見つけます。見つけるには、アカウント名は、右上にあるドロップダウンメニューから [Accounts only] (アカウントのみ) を選択し、フィルターされたテーブルで探してください。

  • アカウントを登録する手順 セクションで示されているように、個々のアカウントを登録する手順に従います。

注記

既存のメールアドレスを登録する場合は AWS アカウント、必ず既存のメールアドレスを確認してください。それ以外の場合は、新しいアカウントが作成されます。

特定のエラーが表示された場合、ページを更新してもう一度試す必要があります。ランディングゾーンがドリフト状態にある場合は、[Enroll account] (アカウントの登録) 機能を正常に使用できないことがあります。ランディングゾーンのドリフトが解決されるまで、Account Factory を使用して新しいアカウントをプロビジョニングする必要があります。

AWS Control Tower コンソールからアカウントを登録する場合は、AWS Control Tower コンソールを使用する管理者権限と共に、AWSServiceCatalogEndUserFullAccess ポリシーが有効になっているユーザーでアカウントにサインインする必要があり、ルートユーザーとしてサインインすることはできません。

登録したアカウントは、他のアカウントを更新する場合と同様に、 AWS Service Catalog および AWS Control Tower アカウントファクトリを使用して更新できます。更新手順については、「AWS Control Tower またはを使用して、アカウントファクトリアカウントの更新と移動を行います。 AWS Service Catalog」セクションを参照してください。

アカウントを登録する手順

AdministratorAccess既存のアカウントに権限 (ポリシー) を設定したら、次の手順に従ってアカウントを登録します。

AWS Control Tower に個別のアカウントを登録するには

  • AWS Control Tower の [Organization] (組織) ページに移動します。

  • [Organization] (組織) ページで、登録できるアカウントでは、セクション上部の [Actions] ドロップダウンメニューから [Enroll] を選択できます。これらのアカウントには、[Account details] (アカウントの詳細) ページでも [Enroll account] (アカウントの登録) ボタンが表示されます。

  • [Enroll account] (アカウントの登録) を選択した場合、[Enroll account] (アカウントの登録) ページが表示され、AWSControlTowerExecution ロールをアカウントに追加するよう促されます。手順については、「必要な IAM ロールを既存の AWS アカウント に手動で追加し、登録します。」を参照してください。

  • 次に、ドロップダウンの一覧から登録された OU を選択します。アカウントが既に登録済みの OU にある場合、このリストには OU が表示されます。

  • [[Enroll account(アカウントの登録)] を選択します。

  • AWSControlTowerExecution ロールを追加するためのモーダルリマインダーが表示されるので、アクションを確認します。

  • [Enroll] (登録する) を選択します。

  • AWS Control Tower は登録プロセスを開始し、[Account details] (アカウントの詳細) ページに戻ります。

登録の失敗の一般的な原因

  • 既存のアカウントを登録するには、登録するアカウントに AWSControlTowerExecution ロールが存在する必要があります。

  • IAM プリンシパルに、アカウントをプロビジョニングするアクセス許可がない可能性があります。

  • AWS Security Token Service (AWS STS) は、 AWS アカウント お客様のホームリージョン、または AWS Control Tower がサポートする任意のリージョンで無効になっています。

  • AWS Service Catalogの Account Factory ポートフォリオに追加する必要があるアカウントにサインインしている場合があります。アカウントを AWS Control Tower で作成または登録できるように、Account Factory にアクセスする前に、アカウントを追加する必要があります。適切なユーザーまたはロールが Account Factory ポートフォリオに追加されていない場合、アカウントを追加しようとするとエラーが発生します。 AWS Service Catalog ポートフォリオへのアクセス権を付与する方法については、「ユーザーへのアクセス権の付与」を参照してください。

  • root としてサインインしている可能性があります。

  • 登録しようとしているアカウントには、 AWS Config 残っている設定がある可能性があります。特に、アカウントに設定レコーダーや配信チャネルを持たないようにできます。 AWS CLI アカウントを登録する前に、でこれらの設定を削除または変更する必要があります。詳細については、「既存の AWS Config リソースを持つアカウントを登録する」および「AWS Control Tower を使用した の操作 AWS CloudShell」を参照してください。

  • アカウントが別の AWS Control Tower OU を含む管理アカウントを持つ別の OU に属している場合、別の OU に参加する前に、現在の OU のアカウントを終了する必要があります。元の OU で既存のリソースを削除する必要があります。それ以外の場合、登録は失敗します。

  • 目的の OU の SCP で、そのアカウントに必要なすべてのリソースの作成が許可されていない場合、アカウントのプロビジョニングと登録は失敗します。例えば、目的の OU 内の SCP は、特定のタグのないリソースの作成をブロックする場合があります。この場合、AWS Control Tower はリソースのタグ付けをサポートしていないため、アカウントのプロビジョニングまたは登録は失敗します。サポートについては、アカウント担当者または AWS Supportにお問い合わせください。

新しいアカウントを作成するとき、または既存のアカウントを登録するときに AWS Control Tower がロールとどのように連携するかについての詳細は、「ロールとアカウント」を参照してください。

ヒント

AWS アカウント 既存のアカウントが登録の前提条件を満たしているかどうかを確認できない場合は、登録 OU を設定して、アカウントをその OU に登録できます。登録が成功したら、アカウントを目的の OU に移動できます。登録に失敗しても、他のアカウントや OU は障害の影響を受けません。

既存のアカウントとその設定が AWS Control Tower に対応しているかどうか疑問がある場合は、次のセクションで推奨されるベストプラクティスに従うことができます。

推奨: アカウントの登録に 2 段階のアプローチを設定する

  • まず、 AWS Config コンフォーマンスパックを使用して、AWS Control Tower の一部のコントロールによってアカウントがどのように影響を受けるかを評価します。AWS Control Tower への登録がアカウントにどのような影響を与えるかを判断するには、「コンフォーマンスパックを使用して AWS AWS Config Control Tower ガバナンスを拡張する」を参照してください。

  • 次に、アカウントを登録できます。コンプライアンスの結果が満足のいくものであれば、予期しない結果を招くことなくアカウントを登録できるため、移行パスが簡単になります。

  • 評価が完了したら、AWS Control Tower のlanding zone を設定することにした場合、 AWS Config 評価用に作成された配信チャネルと設定レコーダーを削除する必要がある場合があります。そうすれば、AWS Control Tower を正常にセットアップできるようになります。

注記

コンフォーマンスパックは、アカウントが AWS Control Tower によって登録された OU にあるが、ワークロードが AWS Control Tower AWS をサポートしていないリージョン内で実行されている場合にも機能します。適合パックを使用して、AWS Control Tower がデプロイされていないリージョンに存在するアカウントのリソースを管理できます。