既存のアカウントの登録について - AWS Control Tower
アカウント登録中の処理VPC を使用して既存のアカウントを登録するAWS Config リソースでアカウントを登録する

既存のアカウントの登録について

AWS Control Tower ガバナンスを AWS Control Tower によって既に管理されている組織単位 (OU) に登録すると、ガバナンスを個々の既存の AWS アカウントに拡張できます。AWS Control Tower OU と同じ AWS Organizations 組織の一部である未登録の OU に存在するアカウントが対象となります。

AWS Control Tower にアカウントを登録するには、さまざまな方法があります。このページの情報は、すべての登録方法に適用されます。

注記

ランディングゾーンの初期セットアップ時を除き、既存の AWS アカウントを監査アカウントまたはログアーカイブアカウントとして登録することはできません。

アカウント登録中の処理

登録プロセス中に、AWS Control Tower は以下のアクションを実行します。

  • アカウントのベースラインを作成します。これには、以下のスタックセットのデプロイが含まれます。

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    これらのスタックセットのテンプレートで既存のポリシーとの競合がないことを確認することをお勧めします。

  • AWS IAM Identity Center または AWS Organizations を通じてアカウントを識別します。

  • 指定した OU にアカウントを配置します。現在の OU に適用されているすべての SCP を適用して、セキュリティ体制の整合性を保ってください。

  • 選択した OU 全体に適用される SCP を使用して、必須のコントロールをアカウントに適用します。

  • AWS Config を有効にし、アカウントのすべてのリソースを記録するように設定します。

  • アカウントに AWS Control Tower の検出コントロールを適用する AWS Config ルールを追加します。

アカウントと組織レベルの CloudTrail 証跡

ランディングゾーンバージョン 3.1 以降で、ランディングゾーン設定でオプションの AWS CloudTrail 統合を選択した場合:

  • OU のすべてのメンバーアカウントは、登録されているかどうかにかかわらず、その OU AWS CloudTrail 証跡によって管理されます。

  • AWS Control Tower にアカウントを登録すると、そのアカウントは新しい組織の AWS CloudTrail 追跡によって管理されます。CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。

  • AWS Organizations コンソールまたは API を使用するなど、登録済みの OU にアカウントを移動する場合は、そのアカウントに残っているアカウントレベルの証跡をすべて削除することをお勧めします。CloudTrail 証跡の既存のデプロイがある場合は、CloudTrail の料金が重複して発生します。

ランディングゾーンを更新して組織レベルの証跡をオプトアウトすることを選択した場合、またはランディングゾーンがバージョン 3.0 より古い場合、組織レベルの CloudTrail 証跡はアカウントには適用されません。

VPC を使用して既存のアカウントを登録する

AWS Control Tower は、Account Factory で新しいアカウントをプロビジョニングするときに、既存のアカウントを登録するときとは異なる方法で VPC を処理します。

  • 新しいアカウントを作成すると、AWS Control Tower は自動的に AWS のデフォルト VPC を削除し、そのアカウントの新しい VPC を作成します。

  • 既存のアカウントを登録する場合、AWS Control Tower はそのアカウントの新しい VPC を作成しません。

  • 既存のアカウントを登録すると、AWS Control Tower はそのアカウントに関連付けられている既存の VPC または AWS のデフォルト VPC を削除しません。

ヒント

Account Factory を設定して新規アカウントに対するデフォルトの動作を変更でき、AWS Control Tower の組織内のアカウントに対して VPC がデフォルトで設定されないようにできます。詳細については、「AWS Control Tower で VPC なしのアカウントを作成する」を参照してください。

AWS Config リソースでアカウントを登録する

登録するアカウントには、既存の AWS Config リソースがないようにします。「既存の AWS Config リソースを持つアカウントを登録する」を参照してください。

以下に、設定レコーダーや配信チャネルなど、既存のアカウントの AWS Config リソースのステータスを確認するために使用できる AWS Config CLI コマンドの例を示します。

表示コマンド:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

通常の応答は "name": "default" のようになります。

削除コマンド:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

AWSControlTowerExecution ロールを追加する例

次の YAML テンプレートを使用すると、アカウントに必要なロールを作成してプログラム的に登録できます。

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess