翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
登録の前提条件
このセクションでは、ランディングゾーン設定ページでオプションの自動登録機能を選択していない場合、または 3.1 より前のランディングゾーンバージョンで動作している場合に、既存の AWS アカウントを AWS Control Tower に登録する方法について説明します。
AWS Control Tower AWS アカウント に既存の を登録する前に、次の前提条件が必要です。
注記
ランディングゾーンの [設定] ページで AWS Control Tower 自動登録機能をアクティブ化した場合、または登録 OU プロセスの一部としてアカウントを登録する場合は、AWSControlTowerExecution ロールを追加する前提条件は必要ありません。ただし、いずれの場合も、登録するアカウントには既存の AWS Config リソースがない可能性があります。「既存の AWS Config リソースがあるアカウントを登録する」を参照してください。
-
既存の を登録するには AWS アカウント、
AWSControlTowerExecutionロールが登録するアカウントに存在する必要があります。詳細と手順については、「アカウントを登録する」で参照できます。 -
AWSControlTowerExecutionロールに加えて、登録する既存の AWS アカウント には、以下のアクセス許可と信頼関係が必要です。それ以外の場合、登録は失敗します。ロールのアクセス許可:
AdministratorAccess(AWS 管理ポリシー)ロールの信頼関係:
-
アカウントには AWS Config 設定レコーダーや配信チャネルがないことをお勧めします。アカウントを登録する前に、 AWS CLI を使用してこれらを削除または変更できます。それ以外の場合は、既存の AWS Config リソースを変更する手順について、既存のリソースがあるアカウントの登録を参照してください。
-
登録するアカウントは、AWS Control Tower 管理アカウントと同じ AWS Organizations 組織に存在する必要があります。既存のアカウントは、AWS Control Tower 管理アカウントと同じ組織にのみ、AWS Control Tower に既に登録されている OU で登録できます。
登録に関するその他の前提条件を確認するには、「AWS Control Tower の開始方法」を参照してください。
注記
AWS Control Tower にアカウントを登録すると、そのアカウントは AWS Control Tower 組織の AWS CloudTrail 追跡によって管理されます。CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。
AWSControTowerExecution ロールでの信頼されるアクセスについて
既存の AWS アカウント を AWS Control Tower に登録する前に、AWS Control Tower がアカウントを管理または管理するアクセス許可を付与する必要があります。具体的に CloudFormation は、AWS Control Tower には、 が選択した組織内のアカウントにスタックを自動的にデプロイできるように、 AWS Organizations ユーザーに代わって AWS CloudFormation と の間に信頼されたアクセスを確立するためのアクセス許可が必要です。この信頼されたアクセスでは、AWSControlTowerExecution ロールは、各アカウントを管理するために必要なアクティビティを実行します。そのため、登録する前にこのロールを各アカウントに追加する必要があります。
信頼されたアクセスが有効になっている場合、 は 1 回のオペレーション AWS リージョン で複数のアカウントおよび のスタックを作成、更新、または削除 CloudFormation できます。AWS Control Tower はこの信頼機能を使用して既存のアカウントにロールとアクセス許可を適用します。その後、それらを登録済み組織単位に移動して、管理下に置くことができます。
信頼されたアクセスと の詳細については AWS CloudFormation StackSets、「」およびAWS CloudFormationStackSetsAWS Organizations「」を参照してください。
