ガバナンスを既存の組織に拡張する - AWS Control Tower
動画: 既存の AWS Organizations でランディングゾーンを有効にするIAM Identity Center および既存の組織に関する考慮事項他の AWS サービスへのアクセス

ガバナンスを既存の組織に拡張する

AWS Control Tower のガバナンスを既存の組織に追加するには、「AWS Control Tower ユーザーガイド」の「はじめに」のステップ 2 に記載されているように、ランディングゾーン (LZ) を設定します。

既存の組織に AWS Control Tower ランディングゾーンをセットアップするときは、以下のことが想定されます。

  • AWS Organizations 組織ごとに 1 つのランディングゾーンをセットアップできます。

  • AWS Control Tower は、その管理アカウントとして既存の AWS Organizations 組織の管理アカウントを使用します。新しい管理アカウントは不要です。

  • AWS Control Tower は登録済み OU に 2 つの新しいアカウントとして、監査アカウントとログ記録アカウントを設定します。

  • 組織のサービスの制限により、これら 2 つの追加のアカウントの作成が許可されている必要があります。

  • ランディングゾーンを起動するか、OU を登録すると、その OU に登録されているすべてのアカウントに AWS Control Tower コントロールが自動的に適用されます。

  • AWS Control Tower によって管理される OU に、既存の AWS アカウントを追加で登録すると、これらのアカウントにコントロールが適用されます。

  • AWS Control Tower に OU を追加したり、既存の OU を登録したりできます。

登録に関するその他の前提条件を確認するには、「AWS Control Tower の開始方法」を参照してください。

AWS Control Tower ランディングゾーンがセットアップされていない AWS Organizations の OU には、AWS Control Tower コントロールが適用されません。ここでは、その仕組みについて詳しく説明します。

  • AWS Control Tower Account Factory の外部で作成された新しいアカウントは、登録済み OU のコントロールによって制限されません。

  • AWS Control Tower に未登録の OU で作成された新しいアカウントは、特に [Enroll] (登録) で AWS Control Tower に登録していない限り、コントロールによって制限されません。アカウントの登録の詳細については、「既存のアカウントの登録について」を参照してください。

  • 追加の既存の組織、既存のアカウント、新しい OU、または AWS Control Tower の外部で作成したアカウントは、個別に OU を登録するか、アカウントを登録しない限り、AWS Control Tower コントロールによって制限されません。

既存の OU とアカウントに AWS Control Tower を適用する方法の詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

既存の組織に AWS Control Tower ランディングゾーンをセットアップするプロセスの概要については、次のセクションの動画を参照してください。

注記

セットアップ中、AWS Control Tower は一般的な問題を回避するために事前チェックを実行します。ただし、現在 AWS Organizations で AWS のランディングゾーンソリューションを使用している場合は、組織内の AWS Control Tower を有効にする前に、AWS Control Tower が現在のランディングゾーンのデプロイを妨害する可能性があるかどうかを AWS ソリューションアーキテクトと一緒に確認して判断してください。また、ランディングゾーン間でのアカウントの移動については、「アカウントが前提条件を満たしていない場合」を参照してください。

動画: 既存の AWS Organizations でランディングゾーンを有効にする

この動画 (7:48) では、既存の AWS Organizations 構造で AWS Control Tower ランディングゾーンをセットアップして有効にする方法について説明しています。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

IAM Identity Center および既存の組織に関する考慮事項

  • AWS IAM Identity Center (IAM Identity Center) が既にセットアップされている場合、AWS Control Tower ホームリージョンは IAM Identity Center リージョンと同じである必要があります。

  • AWS Control Tower は、既存の設定を削除しません。

  • IAM Identity Center が既に有効になっており、IAM Identity Center ディレクトリを使用している場合、AWS Control Tower は許可セット、グループなどのリソースを追加し、通常どおり続行します。

  • 別のディレクトリ (外部、AD、マネージド AD) が設定されている場合、AWS Control Tower は既存の設定を変更しません。詳細については、「AWS IAM Identity Center (IAM Identity Center) のお客様に対する考慮事項」を参照してください。

他の AWS サービスへのアクセス

組織を AWS Control Tower の管理下に入れた後も、AWS Organizations コンソールと API を使用して、AWS Organizations から利用可能な AWS のサービスにアクセスできます。詳細については、「AWS の関連サービス」を参照してください。