翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower および AWS Organizations
AWS Control Tower は、規範的なベスト プラクティスに従って、AWS マルチアカウント環境をセットアップおよび管理するための簡単な方法を提供します。AWS Control Tower オーケストレーションは AWS Organizations の機能を拡張します。 AWS Control Tower は、組織やアカウントがベストプラクティスから逸脱 (ドリフト) しないようにするために、予防的および発見的な制御 (ガードレール) を適用します。
AWS Control Tower オーケストレーションは、AWS Organizations の機能を拡張します。
詳細については、AWS Control Tower ユーザーガイドを参照してください。
AWS Control Tower と AWS Organizations の統合には、次の情報を参考にしてください。
統合に必要な役割
AWSControlTowerExecution ロールは、登録されたすべてのアカウントに存在する必要があります。これにより AWS Control Tower が個々のアカウントを管理し、それらのアカウントに関する情報を監査アカウントおよびログアーカイブアカウントに報告できるようにするものです。
AWS Control Tower で使用されるロールの詳細については、「AWS Control Tower がロールを使用してアカウントを作成および管理する方法」および「AWS Control Tower 用のアイデンティティベースのポリシー (IAM ポリシー) の使用」を参照してください。
AWS Control Tower によって使用されるサービスプリンシパル
AWS Control Tower は、controltower.amazonaws.com サービスプリンシパルを使用します。
AWS Control Tower との信頼されたアクセスの有効化
AWS Control Tower は、信頼できるアクセスを使用して、予防管理のためのドリフトを検出し、ドリフトを引き起こすアカウントと OU の変更を追跡します。
信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。
Organizations ツールだけで、信頼されたアクセスを有効にできます。
Organizations コンソールから信頼されたアクセスを有効にするには、AWS Control Tower の隣の Enable access を選択します。
信頼されたアクセスの有効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。
AWS Control Tower との信頼されたアクセスの無効化
信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。
Organizations ツールだけで、信頼されたアクセスを無効にできます。
重要
AWS Control Tower の信頼できるアクセスを無効にすると、AWS Control Tower ランディングゾーンにドリフトが生じます。ドリフトを修正する唯一の方法は、AWS Control Tower のランディングゾーンの修理を利用することです。Organizations での信頼できるアクセスを再度有効にしても、ドリフトは解決しません。ドリフトの詳細については、「AWS Control Tower ユーザーガイド」を参照してください。
信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。
