AWS Control Tower または AWS Service Catalog で Account Factory アカウントを更新して移動する - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower または AWS Service Catalog で Account Factory アカウントを更新して移動する

登録したアカウントを更新する最も簡単な方法は、AWS Control Tower コンソールから行うことです。個々のアカウントの更新は、移動されたメンバーアカウント のようなドリフトを解決するのに役立ちます。ランディングゾーンの完全な更新の一部として、アカウントの更新も必要です。

ある組織単位 (OU) から別の OU にアカウントを移動する場合、新しい OU によって適用されるコントロールが以前の OU のコントロールとは異なる場合があることに注意してください。新しい OU のコントロールがアカウントのポリシー要件を満たしている必要があります。

アカウントが OU 間を移動するときのコントロールの動作

アカウントを OU 間で移動するとき、宛先 OU のコントロールがアカウントに適用されます。ただし、以前の OU のアカウントに適用されていたコントロールは削除されません。コントロールの正確な動作は、以前の OU と宛先 OU でアクティブなコントロールの実装に固有です。

  • AWS Config ルールを使用して実装されたコントロールの場合: 以前の OU のコントロールは削除されません。このようなコントロールは手動で削除する必要があります。

  • SCP ルールを使用して実装されたコントロールの場合: 以前の OU のコントロールは削除されません。このようなコントロールは手動で削除する必要があります。

  • AWS CloudFormation フックを使用して実装されたコントロールの場合: この動作は、新しい OU のコントロールのステータスによって異なります

    • 宛先 OU でフックベースのコントロールが有効になっていない場合: 古いコントロールは、手動で削除しない限り、移動したアカウントに対して有効なままとなります

    • 宛先 OU でフックのコントロールが有効になっている場合: 古いコントロールは削除され、宛先 OU のコントロールがアカウントに適用されます

コンソールでアカウントを更新する

AWS Control Tower コンソールでアカウントを更新するには
  1. AWS Control Tower の [Organization] (組織) ページに移動します。

  2. OU のリストで、更新するアカウントの名前を選択します。更新可能なアカウントには、[Update available] (更新可能) のステータスが表示されます。

  3. 次に、選択したアカウントのページの [Account details] (アカウントの詳細) が表示されます。

  4. 右上の [Update account] (アカウントの更新) を選択します。

プロビジョニング済み製品の更新

次の手順では、Service Catalog を使用して、アカウントのプロビジョニング済み製品を更新することにより、Account Factory のアカウントを更新したり、新しい OU に移動したりする方法を示します。

Account Factory アカウントを更新したり、Service Catalog からその OU を変更したりするには
  1. AWS マネジメントコンソールにサインインして AWS Service Catalog コンソール (https://console.aws.amazon.com/servicecatalog/) を開きます。

    注記

    Service Catalog で新しい製品をプロビジョニングする許可を持つユーザーとしてサインインする必要があります (例えば、AWSAccountFactory グループまたは AWSServiceCatalogAdmins グループの IAM Identity Center ユーザー)。

  2. ナビゲーションペインで [Provisioning] (プロビジョニング) を選択し、次に [Provisioned products] (プロビジョニング済み製品) を選択します。

  3. 一覧表示されているメンバーアカウントごとに以下のステップを実行して、すべてのメンバーアカウントを更新します。

    1. メンバーアカウントを選択します。そのアカウントの [Provisioned product details] (プロビジョニングされた製品の詳細) ページが表示されます

    2. [Provisioned product details] (プロビジョニングされた製品の詳細) ページで、[Events] (イベント) タブを選択します

    3. 以下のパラメータを書き留めます。

      • SSOUserEmail (プロビジョニング済み製品の詳細で利用可能)

      • AccountEmail (プロビジョニング済み製品の詳細で利用可能)

      • SSOUserFirstName (IAM Identity Center で利用可能)

      • SSOUSerLastName (IAM Identity Center で利用可能)

      • AccountName (IAM Identity Center で利用可能)

    4. [Actions] (アクション) で、[Update] (更新) を選択します。

    5. 更新する製品の [Version] (バージョン) の横にあるボタンを選択して、[Next] (次へ) を選択します。

    6. 前に説明したパラメータ値を入力します。

      • 既存の OU を保持する場合は、 でManagedOrganizationalUnit、アカウントがすでに存在していた OU を選択します。

      • アカウントを新しい OU に移行する場合は、 でManagedOrganizationalUnit、アカウントの新しい OU を選択します。

      中央のクラウド管理者は、この情報を AWS Control Tower コンソールの [Organization] (組織) ページで見つけることができます。

    7. [Next] (次へ) を選択します。

    8. 変更内容を確認し、[Update] (更新) を選択します。このプロセスには、アカウントごとに数分かかることがあります。