既存の OU とアカウントの更新
ランディングゾーン更新を実行するときは、登録済みのアカウントを更新して、そのアカウントに新しいガードレールを適用する必要があります。
-
[Re-Register] (再登録) オプションを使用して、OU の下にあるすべてのアカウントを更新できます。
-
ランディングゾーンに複数の登録済み OU がある場合は、すべての OU を再登録して、すべてのアカウントを更新します。
-
単一のアカウントを更新するには、AWS Control Tower コンソールで更新するか、AWS Service Catalog で [Update provisioned product] (プロビジョニング済み製品の更新) オプションを選択します。
再登録中の処理
OU を再登録すると、次のような処理が行われます。
-
[State] (状態) フィールドは、アカウントが現在 AWS Control Tower に登録されているか ([Enrolled] (登録済み))、アカウントが一度も登録されたことがないか ([Not enrolled] (未登録))、以前に登録に失敗したか ([Enrollment failed] (登録に失敗しました)) を示します。
-
OU を再登録すると、ステータスが [Not enrolled] (未登録) または [Enrollment failed] (登録に失敗しました) であるすべてのアカウントに
AWSControlTowerExecutionロールが追加されます。 -
AWS Control Tower は、それらの新規登録アカウントに Single Sign-On (IAM Identity Center) ログインを作成します。
-
[Enrolled] (登録済み) のアカウントは、AWS Control Tower に再登録されます。
-
OU に適用されている予防ガードレールのドリフトが修正されます。
-
最新のランディングゾーンの変更を反映するように、すべてのアカウントが更新されます。
詳細については、「既存の AWS アカウントを登録する」を参照してください。
OU を再登録するときや、ランディングゾーンバージョンと複数のメンバーアカウントを更新するときに、StackSet-AWSControlTowerExecutionRole と記述されたエラーメッセージが表示されることがあります。管理アカウントのこの StackSet は、登録済みのすべてのメンバーアカウントに AWSControlTowerExecution IAM ロールが既に存在するために失敗することがあります。このエラーメッセージは想定される動作であり、無視してもかまいません。
