自動登録でアカウントを移動して登録する - AWS Control Tower
前提条件: 自動登録用に設定する必要なアクセス許可API の使用状況に関する例考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

自動登録でアカウントを移動して登録する

アカウントの自動登録機能は、バージョン 3.1 以降のランディングゾーンで利用可能です。

オプションでこの機能を有効にする場合は、 AWS Organizations APIs とコンソールを使用して、継承ドリフトを作成せずにアカウントを AWS Control Tower に移動できます。アカウントは、AWS Control Tower の送信先の組織単位 (OU) からベースラインリソースとコントロール設定を自動的に受け取ります。このオプション機能を使用すると、2 つの OU が同じベースライン設定を持ち、同じコントロールが有効になっている場合、継承ドリフトを作成せずに、AWS Control Tower 内の OU 間でアカウントを移動することもできます。

自動登録を有効にするには: AWS Control Tower コンソールのランディングゾーンの [設定] ページでアカウントの自動登録を選択するか、RemediationType パラメータの値を継承ドリフトに設定して AWS Control Tower CreateLandingZone または UpdateLandingZone API を呼び出します。

自動登録を適用するには: 設定ページでこのオプションを選択したら、 AWS Organizations コンソール、 API、 AWS Organizations MoveAccountまたは AWS Control Tower コンソールを使用してアカウントを移動できます。

自動登録を使用してアカウントの登録を解除するには: 登録されている OU の外部にアカウントを移動すると、AWS Control Tower はデプロイされたすべてのベースラインとコントロールを自動的に削除します。

注記

AWS Control Tower のソースと送信元 OU の設定が異なる場合、アカウントで 移動されたメンバーアカウント ドリフトが表示されることがあります。

前提条件: 自動登録用に設定する

  • AWS Control Tower ランディングゾーンバージョン 3.1 以降を実行している必要があります。

  • コンソールのランディングゾーンの [設定] ページ、または RemediationTypes パラメータの値を Inheritance Drift に設定して AWS Control Tower ランディングゾーン API を使用して、AWS Control Tower 自動登録機能にオプトインします。オプトインすると、AWS Control Tower はユーザーに代わって のmove accountイベントに対応し AWS Organizations、移動したアカウントの継承ドリフトを直ちに修正します。

必要なアクセス許可

CreateAccount API と MoveAccount API を使用するには AWS Organizations 、特定のロールとアクセス許可が必要です。AWS Control Tower AWS Organizations で を使用する方法の詳細については、「AWS Control Tower と AWS Organizations」を参照してください。

API の使用状況に関する例

これらの API に関する詳細と例については、「AWS Organizations API リファレンス」の「CreateAccount」と「MoveAccount」を参照してください。

考慮事項

  • 登録タイムライン: AWS Control Tower に登録されている OU に移動したアカウントは、結果整合性モデルで登録されます。このプロセスは通常、移動するアカウントの数に応じて数分、最大数時間かかります。

  • 登録解除プロセス: AWS Control Tower の外部の OU に移動することで、同じプロセスを使用して AWS Control Tower からアカウントの登録を解除できます。このプロセスでは、AWS Control Tower によってデプロイされたロールとリソース、および AWS Control Tower で有効になっているコントロールがすべて削除されます。