ガバナンスを既存の組織に拡張する - AWS Control Tower
動画: 既存の AWS Organizationsでランディングゾーンを有効にするIAM Identity Center および既存の組織に関する考慮事項他の AWS サービスへのアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ガバナンスを既存の組織に拡張する

AWS Control Tower のガバナンスを既存の組織に追加するには、「AWS Control Tower ユーザーガイド」の「はじめに」のステップ 2 に記載されているように、ランディングゾーン (LZ) を設定します。

既存の組織に AWS Control Tower ランディングゾーンをセットアップするときは、以下のことが想定されます。

  • AWS Organizations 組織ごとに 1 つのランディングゾーンを設定できます。

  • AWS Control Tower は、既存の AWS Organizations 組織の管理アカウントを管理アカウントとして使用します。新しい管理アカウントは不要です。

  • AWS Control Tower は登録済み OU に 2 つの新しいアカウントとして、監査アカウントとログ記録アカウントを設定します。

  • 組織のサービスの制限により、これら 2 つの追加のアカウントの作成が許可されている必要があります。

  • ランディングゾーンを起動するか、OU を登録すると、その OU に登録されているすべてのアカウントに AWS Control Tower コントロールが自動的に適用されます。

  • AWS Control Tower によって管理される OU に既存の AWS アカウントを追加登録して、それらのアカウントにコントロールを適用できます。

  • AWS Control Tower に OU を追加したり、既存の OU を登録したりできます。

登録に関するその他の前提条件を確認するには、「AWS Control Tower の開始方法」を参照してください。

AWS Control Tower ランディングゾーンがセットアップされていない AWS Organizations の OU には、AWS Control Tower コントロールが適用されません。ここでは、その仕組みについて詳しく説明します。

  • AWS Control Tower Account Factory の外部で作成された新しいアカウントは、登録済み OU のコントロールによって制限されません。

  • AWS Control Tower に未登録の OU で作成された新しいアカウントは、特に [Enroll] (登録) で AWS Control Tower に登録していない限り、コントロールによって制限されません。アカウントの登録の詳細については、「既存の を登録する AWS アカウント」を参照してください。

  • 追加の既存の組織、既存のアカウント、新しい OU、または AWS Control Tower の外部で作成したアカウントは、個別に OU を登録するか、アカウントを登録しない限り、AWS Control Tower コントロールによって制限されません。

既存の OU とアカウントに AWS Control Tower を適用する方法の詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

既存の組織に AWS Control Tower ランディングゾーンをセットアップするプロセスの概要については、次のセクションの動画を参照してください。

注記

セットアップ中、AWS Control Tower は一般的な問題を回避するために事前チェックを実行します。ただし、現在 AWS ランディングゾーンソリューションを使用している場合は AWS Organizations、組織で AWS Control Tower を有効にして AWS Control Tower が現在のランディングゾーンのデプロイを妨げる可能性があるかどうかを判断する前に、 AWS ソリューションアーキテクトに確認してください。また、ランディングゾーン間でのアカウントの移動については、「アカウントが前提条件を満たしていない場合」を参照してください。

動画: 既存の AWS Organizationsでランディングゾーンを有効にする

このビデオ (7:48) では、既存の AWS Organizations 構造で AWS Control Tower ランディングゾーンをセットアップして有効にする方法について説明します。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

IAM Identity Center および既存の組織に関する考慮事項

  • AWS IAM Identity Center (IAM アイデンティティセンター) が既に設定されている場合、AWS Control Tower ホームリージョンは IAM アイデンティティセンターリージョンと同じである必要があります。

  • AWS Control Tower は、既存の設定を削除しません。

  • IAM Identity Center が既に有効になっており、IAM Identity Center ディレクトリを使用している場合、AWS Control Tower は許可セット、グループなどのリソースを追加し、通常どおり続行します。

  • 別のディレクトリ (外部、AD、マネージド AD) が設定されている場合、AWS Control Tower は既存の設定を変更しません。詳細については、「AWS IAM Identity Center (IAM Identity Center) のお客様に関する考慮事項」を参照してください。

他の AWS サービスへのアクセス

組織を AWS Control Tower ガバナンスに導入した後も、 コンソールと APIs を使用して AWS Organizations AWS Organizations 、 を通じて利用可能な AWS サービスにアクセスできます。詳細については、「AWS の関連サービス」を参照してください。