View a markdown version of this page

自動登録でアカウントを移動して登録する - AWS Control Tower
前提条件: 自動登録用に設定する必要なアクセス許可API の使用状況に関する例考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

自動登録でアカウントを移動して登録する

アカウントの自動登録機能は、バージョン 3.1 以降のランディングゾーンで利用可能です。

オプションでこの機能を有効にすると、 AWS Organizations APIs とコンソールを使用して、継承ドリフトを作成せずにアカウントを AWS Control Tower に移動できます。アカウントは、AWS Control Tower の送信先の組織単位 (OU) からベースラインリソースとコントロール設定を自動的に受け取ります。このオプション機能を使用すると、2 つの OU が同じベースライン設定を持ち、同じコントロールが有効になっている場合、継承ドリフトを作成せずに、AWS Control Tower 内の OU 間でアカウントを移動することもできます。

自動登録を有効にするには: AWS Control Tower コンソールのランディングゾーンの [設定] ページでアカウントの自動登録を選択するか、RemediationType パラメータの値を継承ドリフトに設定して AWS Control Tower CreateLandingZone または UpdateLandingZone API を呼び出します。

アカウントを登録するには: 自動登録を有効にしたら、 AWS Organizations コンソール、 MoveAccount API、 AWS Organizations または AWS Control Tower コンソールを使用して、アカウントを登録済みの OU に移動します。アカウントは、その OU からベースラインリソースとコントロールを自動的に受け取ります。これは、既存のアカウントと新しく作成されたアカウント (デフォルトでは組織ルートで作成されます) の両方に適用されます。

アカウントを登録解除するには: アカウントを AWS Control Tower に登録されていない OU、または組織のルートに移動します。AWS Control Tower は、デプロイされたすべてのベースラインリソースとコントロールを自動的に削除します。

注記

AWS Control Tower のソースと送信元 OU の設定が異なる場合、アカウントで 移動されたメンバーアカウント ドリフトが表示されることがあります。

前提条件: 自動登録用に設定する

  • AWS Control Tower ランディングゾーンバージョン 3.1 以降を実行している必要があります。

  • コンソールのランディングゾーンの [設定] ページ、または RemediationTypes パラメータの値を Inheritance Drift に設定して AWS Control Tower ランディングゾーン API を使用して、AWS Control Tower 自動登録機能にオプトインします。オプトインすると、AWS Control Tower はユーザーに代わって のmove accountイベントに対応し AWS Organizations、移動したアカウントの継承ドリフトを直ちに修正します。

必要なアクセス許可

CreateAccount API と MoveAccount API を使用するには AWS Organizations 、特定のロールとアクセス許可が必要です。AWS Control Tower AWS Organizations で を使用する方法の詳細については、「AWS Control Tower と AWS Organizations」を参照してください。

API の使用状況に関する例

これらの API に関する詳細と例については、「AWS Organizations API リファレンス」の「CreateAccount」と「MoveAccount」を参照してください。

考慮事項

  • 登録タイムライン: AWS Control Tower に登録されている OU に移動したアカウントは、結果整合性モデルで登録されます。このプロセスは通常、移動するアカウントの数に応じて数分、最大数時間かかります。

  • AWS Service Catalog プロビジョニング済み製品: 自動登録では、 AWS Service Catalog プロビジョニング済み製品は作成、変更、終了されません。アカウントが Account Factory を通じて以前に登録されており、プロビジョニング済み製品に関連付けられている場合、そのプロビジョニング済み製品は、アカウントを登録解除した後も管理アカウントに残ります。孤立したプロビジョニング済み製品をクリーンアップするには、AWS 「Service Catalog ユーザーガイド」の「プロビジョニング済み製品の削除」を参照してください。