既存の OU とアカウントの更新 - AWS Control Tower

既存の OU とアカウントの更新

ランディングゾーン更新を実行するときは、登録済みのアカウントを更新して、そのアカウントに新しいガードレールを適用する必要があります。

  • [Re-Register] (再登録) オプションを使用して、OU の下にあるすべてのアカウントを更新できます。

  • ランディングゾーンに複数の登録済み OU がある場合は、すべての OU を再登録して、すべてのアカウントを更新します。

  • 単一のアカウントを更新するには、AWS Control Tower コンソールで更新するか、AWS Service Catalog で [Update provisioned product] (プロビジョニング済み製品の更新) オプションを選択します。

再登録中の処理

OU を再登録すると、次のような処理が行われます。
  • [State] (状態) フィールドは、アカウントが現在 AWS Control Tower に登録されているか ([Enrolled] (登録済み))、アカウントが一度も登録されたことがないか ([Not enrolled] (未登録))、以前に登録に失敗したか ([Enrollment failed] (登録に失敗しました)) を示します。

  • OU を再登録すると、ステータスが [Not enrolled] (未登録) または [Enrollment failed] (登録に失敗しました) であるすべてのアカウントに AWSControlTowerExecution ロールが追加されます。

  • AWS Control Tower は、それらの新規登録アカウントに Single Sign-On (IAM Identity Center) ログインを作成します。

  • [Enrolled] (登録済み) のアカウントは、AWS Control Tower に再登録されます。

  • OU に適用されている予防ガードレールのドリフトが修正されます。

  • 最新のランディングゾーンの変更を反映するように、すべてのアカウントが更新されます。

詳細については、「既存の AWS アカウントを登録する」を参照してください。

ヒント

OU を再登録するときや、ランディングゾーンバージョンと複数のメンバーアカウントを更新するときに、StackSet-AWSControlTowerExecutionRole と記述されたエラーメッセージが表示されることがあります。管理アカウントのこの StackSet は、登録済みのすべてのメンバーアカウントに AWSControlTowerExecution IAM ロールが既に存在するために失敗することがあります。このエラーメッセージは想定される動作であり、無視してもかまいません。