[概要]前提条件と制限アーキテクチャツールエピックトラブルシューティング関連リソース

Organizations から AWS Control Tower AWS にAWSメンバーアカウントを移行する

作成者: Rodolfo Jr. Cerrada (AWS）

環境:本稼働

テクノロジー: 管理とガバナンス、モダナイゼーション

AWS サービス: AWS Organizations、AWSControl Tower

[概要]

このパターンでは、Amazon Web Services (AWS) アカウントを、管理アカウントによって管理されるメンバーアカウントである AWS Organizations から AWS Control Tower に移行する方法について説明します。AWS Control Tower にアカウントを登録することで、アカウントのガバナンスを合理化する予防ガードレールと検出ガードレールと機能を活用できます。AWS Organizations 管理アカウントが侵害され、AWSControl Tower によって管理される新しい組織にメンバーアカウントを移動する場合にも、メンバーアカウントを移行できます。

AWS Control Tower は、AWSOrganizations を含む他のいくつかの AWSサービスの機能を組み合わせて統合するフレームワークを提供し、マルチアカウント環境全体で一貫したコンプライアンスとガバナンスを確保します。AWS Control Tower を使用すると、 AWS Organizations の機能を拡張する一連の規定のルールと定義に従うことができます。たとえば、ガードレールを使用して、セキュリティログと必要なクロスアカウントアクセス許可が作成され、変更されないようにできます。

前提条件と制限

前提条件

アクティブなAWSアカウント
AWS Organizations のターゲット組織で Control Tower AWS をセットアップする (手順については、AWSControl Tower ドキュメントの「セットアップ」を参照してください）
AWS Control Tower の管理者認証情報 (AWSControlTowerAdminsグループのメンバー）
ソースAWSアカウントの管理者認証情報

制約事項

AWS Organizations のソース管理アカウントは、AWSControl Tower のターゲット管理アカウントとは異なる必要があります。

製品バージョン

AWS Control Tower バージョン 2.3 (2020 年 2 月) 以降 (リリースノートを参照）

アーキテクチャ

次の図は移行プロセスとリファレンスアーキテクチャを示しています。このパターンは、ソース組織から AWS Control Tower によって管理されるターゲット組織にAWSアカウントを移行します。

AWS 別の組織に移行され、登録された OU に移行されたAWSアカウントの Control Tower 登録プロセス。

登録プロセスは、3 つの手順があります。

アカウントはソース組織を AWS Organizations に残します。
アカウントはスタンドアロンアカウントになります。つまり、アカウントはどの組織にも属さないため、ガバナンスと請求はアカウント管理者によって独立して管理されます。
ターゲット組織は組織に参加するようアカウントの招待を送信します。
スタンドアロンアカウントは招待を受け入れ、ターゲット組織のメンバーになります。
アカウントは AWS Control Tower に登録され、登録された組織単位 (OU) に移動します。（AWSControl Tower ダッシュボードを確認して、登録を確認することをお勧めします。）この時点で、登録済み OU で有効化されているすべてのガードレールが有効になります。

ツール

AWS サービス

AWS Organizations は、複数のアカウントを 1 つのエンティティ (組織 ) に統合し、一元管理できるようにするAWSアカウント管理サービスです。
AWS Control Tower は、AWSOrganizations、AWSIAMIdentity Center (AWSシングルサインオンの後継）、AWSService Catalog などの他のサービスの機能を統合して、AWSクラウド内のすべての組織とアカウントでセキュリティ、オペレーション、コンプライアンスのガバナンスルールを大規模に適用および管理できるようにします。

エピック

タスク	説明	必要なスキル
メンバーアカウントがスタンドアロンアカウントとして実行できることを確認します。	ソース組織から離れるメンバーアカウントに、スタンドアロンアカウントとしての運用に必要な情報があることを確認します。例えば、メンバーアカウントに請求情報がない場合、 AWSは支払い情報を使用して、アカウントにアタッチされていない間に発生した請求可能なAWSアクティビティに対して課金するため、スタンドアロンアカウントとして動作できません。通常、AWSOrganizations コンソール、、APIまたは AWS コマンドラインインターフェイス (CLI) コマンドを使用してメンバーアカウントを作成した場合、スタンドアロンアカウントに必要な情報は自動的に収集されません。この情報を追加するには、アカウントにサインインし、サポートプラン、連絡先情報、支払方法を指定します。組織からアカウントを削除する前に知っておくべきことの詳細については、AWS「Organizations ドキュメント」の「組織からアカウントを削除する前に」を参照してください。	アカウント管理者
メンバーアカウントをソース組織から削除します。	AWS Organizations ドキュメントの指示に従って、組織からメンバーアカウントを削除します。組織の管理アカウントにサインインしてメンバーアカウントを削除、またはメンバーアカウントにサインインして組織を離れることもできます。アカウントを削除または離れる管理者レベルの認証情報がない場合は、組織の管理者に支援を求めてください。メンバーアカウントにサポートプラン、連絡先情報、または支払情報がない場合は、その情報の提供と確認を求められます。組織を離れると、AWSOrganizations コンソールの開始方法ページにリダイレクトされ、アカウントが他の組織に参加する招待を表示できます。重要: この時点では、お使いのアカウントはスタンドアロンアカウントです。AWS 無料利用枠が適用されないワークロードを実行している場合は、アカウントに提供した支払い情報と請求情報に従って課金されます。	管理アカウント管理者またはアカウント管理者
メンバーアカウントがソース組織の一部ではなくなったことを確認します。	AWS Organizations コンソールで、組織を離れるボタンが表示されなくなります。代わりに、他の組織からの保留中の招待（ある場合）が表示されるはずです。	アカウント管理者
アカウントへのアクセスを許可するIAMロールを、残した組織から削除します。	ソース組織からアカウントを削除すると、AWSOrganizations または管理者によって作成された AWS Identity and Access Management (IAM) ロールは自動的に削除されません。ソース組織の管理アカウントからのアクセスを終了するには、IAMロールを手動で削除する必要があります。詳細については、 IAMドキュメントの「ロールまたはインスタンスプロファイルの削除」を参照してください。メンバーアカウントが組織を離れると、アカウントにアタッチされていたタグはすべて削除されます。スタンドアロンアカウントはタグをサポートしていません。	アカウント管理者

タスク	説明	必要なスキル
AWS Control Tower にサインインします。	管理者として AWS Control Tower コンソールにサインインします。現在、ソース組織から AWS Control Tower によって管理されている OU 内の組織にAWSアカウントを移動する直接の方法はありません。ただし、AWSControl Tower によって既に管理されている OU に登録するときにAWS、Control Tower ガバナンスを既存のAWSアカウントに拡張できます。そのため、このステップでは AWS Control Tower にログインする必要があります。	AWS Control Tower 管理者
メンバーアカウントを招待します。	AWS Organizations コンソールにサインインし、AWSAccounts ページに移動します。 AWS アカウントの追加ページで、既存のAWSアカウントを招待するを選択します。 12 桁のアカウント番号 (ダッシュなし)、オプションの説明とタグなど、アカウント情報を入力してから、[Send invitation（招待を送信）] を選択します。重要: アカウントの移管によってアプリケーションまたはネットワーク接続が影響を受けないことを確認します。このアクションで、メンバーアカウントへのリンクを記載した招待メールを送信します。アカウント管理者がリンクに従って招待を受け入れると、メンバーアカウントがAWSアカウントページに表示されます。詳細については、「 Organizations ドキュメント」の「組織に参加するためにAWSアカウントを招待する」を参照してください。 AWS	AWS Control Tower 管理者
アプリケーションと接続性をテストします。	メンバーアカウントが新しい組織に登録されると、ルート内の OU に表示されます。また、AWSControl Tower コンソールにも表示され、Control Tower に登録された OU AWS にまだ登録されていないため、アカウントに登録されていないとフラグが付けられます。以下について確認します。 AWS Control Tower ダッシュボードをチェックして、ガードレール違反がないかどうかを確認します。ネットワーク接続 (VPN または AWS Direct Connect) をチェックして、転送の影響を受けていないことを確認します。 (アプリケーション所有者) このアカウントに関連付けられているアプリケーションをテストして、アプリケーションが期待どおりに動作し、依存関係がアカウント移管の影響を受けていないことを確認します。	AWS Control Tower 管理者、メンバーアカウント管理者、アプリケーション所有者

タスク

説明

必要なスキル

AWS Control Tower にサインインします。

管理者として AWS Control Tower コンソールにサインインします。

現在、ソース組織から AWS Control Tower によって管理されている OU 内の組織にAWSアカウントを移動する直接の方法はありません。ただし、AWSControl Tower によって既に管理されている OU に登録するときにAWS、Control Tower ガバナンスを既存のAWSアカウントに拡張できます。そのため、このステップでは AWS Control Tower にログインする必要があります。

AWS Control Tower 管理者

メンバーアカウントを招待します。

AWS Organizations コンソールにサインインし、AWSAccounts ページに移動します。
AWS アカウントの追加ページで、既存のAWSアカウントを招待する を選択します。
12 桁のアカウント番号 (ダッシュなし)、オプションの説明とタグなど、アカウント情報を入力してから、[Send invitation（招待を送信）] を選択します。

重要: アカウントの移管によってアプリケーションまたはネットワーク接続が影響を受けないことを確認します。

このアクションで、メンバーアカウントへのリンクを記載した招待メールを送信します。アカウント管理者がリンクに従って招待を受け入れると、メンバーアカウントがAWSアカウントページに表示されます。詳細については、「 Organizations ドキュメント」の「組織に参加するためにAWSアカウントを招待する」を参照してください。 AWS

AWS Control Tower 管理者

アプリケーションと接続性をテストします。

メンバーアカウントが新しい組織に登録されると、ルート内の OU に表示されます。また、AWSControl Tower コンソールにも表示され、Control Tower に登録された OU AWS にまだ登録されていないため、アカウントに登録されていないとフラグが付けられます。

以下について確認します。

AWS Control Tower ダッシュボードをチェックして、ガードレール違反がないかどうかを確認します。
ネットワーク接続 (VPN または AWS Direct Connect) をチェックして、転送の影響を受けていないことを確認します。
(アプリケーション所有者) このアカウントに関連付けられているアプリケーションをテストして、アプリケーションが期待どおりに動作し、依存関係がアカウント移管の影響を受けていないことを確認します。

AWS Control Tower 管理者、メンバーアカウント管理者、アプリケーション所有者

タスク	説明	必要なスキル
ガードレールを見直し、違反があれば修正します。	ターゲット OU で定義されているガードレール、特に予防用ガードレールを確認し、違反があれば修正します。 AWS Control Tower ランディングゾーンを設定すると、いくつかの必須の予防ガードレールがデフォルトで有効になります。これらは無効化できません。アカウントを登録する前に、これらの必須のガードレールを確認し、メンバーアカウントを (手動またはスクリプトを使用して) 修正する必要があります。注: 予防ガードレールは、AWSControl Tower の登録済みアカウントを準拠させ、ポリシー違反を防止します。予防的ガードレールの違反は登録に影響する可能性があります。検出ガードレール違反は、正常に登録されると AWS Control Tower ダッシュボードに表示されます。登録プロセスには影響しません。詳細については、AWSドキュメントのAWS「Control Tower のガードレール」を参照してください。	AWS Control Tower 管理者、メンバーアカウント管理者
ガードレール違反を修正したら、接続の問題を確認します。	場合によっては、ガードレール違反を修正するには、特定のポートを閉じる、またはサービスを無効化する必要があります。アカウントを登録する前に、それらのポートやサービスを使用するアプリケーションが修正されていることを確認します。	アプリ所有者

タスク

説明

必要なスキル

ガードレールを見直し、違反があれば修正します。

ターゲット OU で定義されているガードレール、特に予防用ガードレールを確認し、違反があれば修正します。

AWS Control Tower ランディングゾーンを設定すると、いくつかの必須の予防ガードレールがデフォルトで有効になります。これらは無効化できません。アカウントを登録する前に、これらの必須のガードレールを確認し、メンバーアカウントを (手動またはスクリプトを使用して) 修正する必要があります。

注: 予防ガードレールは、AWSControl Tower の登録済みアカウントを準拠させ、ポリシー違反を防止します。予防的ガードレールの違反は登録に影響する可能性があります。検出ガードレール違反は、正常に登録されると AWS Control Tower ダッシュボードに表示されます。登録プロセスには影響しません。詳細については、AWSドキュメントのAWS「Control Tower のガードレール」を参照してください。

AWS Control Tower 管理者、メンバーアカウント管理者

ガードレール違反を修正したら、接続の問題を確認します。

場合によっては、ガードレール違反を修正するには、特定のポートを閉じる、またはサービスを無効化する必要があります。アカウントを登録する前に、それらのポートやサービスを使用するアプリケーションが修正されていることを確認します。

アプリ所有者

タスク	説明	必要なスキル
AWS Control Tower コンソールにサインインします。	AWS Control Tower の管理権限を持つサインイン認証情報を使用します。AWS Organizations アカウントを登録するために、ルートユーザー (管理アカウント) 認証情報を使用しないでください。エラーメッセージが表示されます。	AWS Control Tower 管理者
アカウントを登録します。	AWS Control Tower の Account Factory ページから、アカウントの登録を選択します。登録するアカウントに関連付けられた E メールアドレス、AWSControl Tower に表示される表示名、IAMアイデンティティセンターの E メールアドレス、アカウント所有者の姓名、アカウントを登録する OU などの詳細を入力します。IAM Identity Center の E メールアドレスは、ユーザーの優先 E メールアドレスです。アカウントメールと同じメールアドレスを使用できます。 [[Enroll account（アカウントの登録）] を選択します。詳細については、AWSControl Tower ドキュメントの「既存のアカウントを登録する」を参照してください。	AWS Control Tower 管理者

タスク	説明	必要なスキル
アカウントを検証します。	AWS Control Tower から、アカウントを選択します。登録したばかりのアカウントの初期状態は [Enrolling（登録中）] です。登録が完了すると、状態は [Enrolled（登録済み）] に変わります。	AWS Control Tower 管理者、メンバーアカウント管理者
ガードレールの違反がないか確認します。	OUで定義されたガードレールは、登録されたメンバーアカウントに自動的に適用されます。AWS Control Tower ダッシュボードに違反がないかモニタリングし、それに応じて修正します。詳細については、AWSドキュメントのAWS「Control Tower のガードレール」を参照してください。	AWS Control Tower 管理者、メンバーアカウント管理者

トラブルシューティング

問題	ソリューション
[An unknown error occurred（不明のエラーが発生しました）] というエラーメッセージが表示されます。後で再試行するか、 AWS サポートにお問い合わせください。	このエラーは、AWSControl Tower でルートユーザー認証情報 (管理アカウント) を使用して新しいアカウントを登録する場合に発生します。AWS Service Catalog は Account Factory Portfolio または製品をルートユーザーにマッピングできず、エラーメッセージが発生します。このエラーを修正するには、ルート以外のフルアクセスユーザー (管理者) 認証情報を使用して新しいアカウントを登録します。管理ユーザーに管理アクセスを割り当てる方法の詳細については、AWSIAM「Identity Center (AWSシングルサインオンの後継) ドキュメントの開始方法」を参照してください。
AWS Control Tower アクティビティページには、致命的なドリフトの取得アクションが表示されます。	このアクションは、サービスのドリフトチェックを反映し、AWSControl Tower のセットアップに関する問題を示すものではありません。アクションは必要ありません。

問題

ソリューション

[An unknown error occurred（不明のエラーが発生しました）] というエラーメッセージが表示されます。後で再試行するか、 AWS サポートにお問い合わせください。

このエラーは、AWSControl Tower でルートユーザー認証情報 (管理アカウント) を使用して新しいアカウントを登録する場合に発生します。AWS Service Catalog は Account Factory Portfolio または製品をルートユーザーにマッピングできず、エラーメッセージが発生します。このエラーを修正するには、ルート以外のフルアクセスユーザー (管理者) 認証情報を使用して新しいアカウントを登録します。管理ユーザーに管理アクセスを割り当てる方法の詳細については、AWSIAM「Identity Center (AWSシングルサインオンの後継) ドキュメントの開始方法」を参照してください。

AWS Control Tower アクティビティページには、致命的なドリフトの取得アクションが表示されます。

このアクションは、サービスのドリフトチェックを反映し、AWSControl Tower のセットアップに関する問題を示すものではありません。アクションは必要ありません。