自動登録でアカウントを移動して登録する
アカウントの自動登録機能は、バージョン 3.1 以降のランディングゾーンで利用可能です。
オプションでこの機能を有効化すると、継承ドリフトを作成せずに AWS Organizations API とコンソールを使用してアカウントを AWS Control Tower に移動できます。アカウントは、AWS Control Tower の送信先の組織単位 (OU) からベースラインリソースとコントロール設定を自動的に受け取ります。このオプション機能を使用すると、2 つの OU が同じベースライン設定を持ち、同じコントロールが有効になっている場合、継承ドリフトを作成せずに、AWS Control Tower 内の OU 間でアカウントを移動することもできます。
自動登録を有効にするには: AWS Control Tower コンソールのランディングゾーンの [設定] ページでアカウントの自動登録を選択するか、RemediationType パラメータの値を継承ドリフトに設定して AWS Control Tower CreateLandingZone または UpdateLandingZone API を呼び出します。
自動登録を適用するには: [設定] ページでこのオプションを選択した後、AWS Organizations コンソール、 AWS Organizations MoveAccount API、または AWS Control Tower コンソールを使用してアカウントを移動できます。
自動登録を使用してアカウントの登録を解除するには: 登録されている OU の外部にアカウントを移動すると、AWS Control Tower はデプロイされたすべてのベースラインとコントロールを自動的に削除します。
注記
AWS Control Tower のソースと送信元 OU の設定が異なる場合、アカウントで 移動されたメンバーアカウント ドリフトが表示されることがあります。
前提条件: 自動登録用に設定する
-
AWS Control Tower ランディングゾーンバージョン 3.1 以降を実行している必要があります。
-
コンソールのランディングゾーンの [設定] ページ、または
RemediationTypesパラメータの値をInheritance Driftに設定して AWS Control Tower ランディングゾーン API を使用して、AWS Control Tower 自動登録機能にオプトインします。オプトインすると、AWS Control Tower は AWS Organizations のmove accountイベントに反応し、移動したアカウントの継承ドリフトをユーザーに代わってすぐに修正します。
必要なアクセス許可
AWS Organizations CreateAccount API と MoveAccount API を使用するには、特定のロールとアクセス許可が必要です。AWS Control Tower で AWS Organizations を使用する詳細については、「AWS Control Tower and AWS Organizations」を参照してください。
API の使用状況に関する例
これらの API に関する詳細と例については、「AWS Organizations API リファレンス」の「CreateAccount」と「MoveAccount」を参照してください。
考慮事項
-
登録タイムライン: AWS Control Tower に登録されている OU に移動したアカウントは、結果整合性モデルで登録されます。このプロセスは通常、移動するアカウントの数に応じて数分、最大数時間かかります。
-
登録解除プロセス: AWS Control Tower の外部の OU に移動することで、同じプロセスを使用して AWS Control Tower からアカウントの登録を解除できます。このプロセスでは、AWS Control Tower によってデプロイされたロールとリソース、および AWS Control Tower で有効になっているコントロールがすべて削除されます。
