AWS Control Tower AWS アカウント の について

AWS アカウント は、所有するすべてのリソースのコンテナです。これらのリソースには、アカウントによって受け入れられる AWS Identity and Access Management (IAM) ID が含まれます。これは、そのアカウントにアクセスできるユーザーを決定します。IAM アイデンティティには、ユーザー、グループ、ロールなどがあります。AWS Control Tower で IAM、ユーザー、ロール、およびポリシーを使用する方法の詳細については、「AWS Control Tower の Identity and Access Management」を参照してください。

リソースとアカウントの作成時間

AWS Control Tower は、アカウントを作成または登録するときに、アカウントに必要な最小限のリソース設定をデプロイします。たとえば、Account Factory テンプレートの形式のリソースや、IAM ロール、 AWS CloudTrail 証跡、Service Catalog プロビジョニング済み製品、IAM Identity Center ユーザーなどのランディングゾーン内の他のリソースが含まれる場合があります。AWS Control Tower は、コントロール設定に応じて、新しいアカウントがメンバーアカウントになることになっている組織単位 (OU) のリソースもデプロイします。

AWS Control Tower は、ユーザーに代わってこれらのリソースのデプロイをオーケストレートします。デプロイを完了するにはリソースごとに数分かかる場合があるため、アカウントを作成または登録する前に作業の合計時間を考慮してください。アカウントのリソースの管理の詳細については、「AWS Control Tower リソースの作成と変更に関するガイダンス」を参照してください。

AWS Control Tower がアカウントを作成した場合に起きること

AWS Control Tower の新しいアカウントが作成され、AWS Control Tower 間のやり取りによってプロビジョニングされます AWS Organizations AWS Service Catalog。AWS Control Tower コンソールからアカウントを作成し、既存のアカウントを登録できます。AWS Control Tower コンソール AWS アカウント を使用して既存の を登録する詳細な手順については、「」を参照してくださいAWS Control Tower コンソールから既存のアカウントを登録する。

既存のセキュリティアカウントまたはログアカウントを使用する際の考慮事項

をセキュリティ (デフォルト名: 監査) またはログ記録 (デフォルト名: ログアーカイブ) アカウント AWS アカウント として受け入れる前に、AWS Control Tower はアカウントで AWS Control Tower の要件と競合するリソースをチェックします。例えば、ロギングバケットの名前が AWS Control Tower が必要とする名前と同じである場合があります。また、AWS Control Tower は、アカウントがリソースをプロビジョニングできることを検証します。たとえば、 AWS Security Token Service (AWS STS) が有効になっていること、アカウントが停止されていないこと、AWS Control Tower がアカウント内でリソースをプロビジョニングするアクセス許可を持っていることを確認します。

AWS Control Tower は、お客様が指定したログアカウントやセキュリティアカウント内の既存のリソースを削除しません。ただし、有効にすると、AWS Control Tower リージョン拒否コントロールにより、拒否されたリージョン内のリソースへのアクセスが禁止されます。