登録の前提条件
このセクションでは、ランディングゾーンの [設定] ページでオプションの自動登録機能を選択していない場合、または 3.1 より前のランディングゾーンバージョンで動作している場合に、既存の AWS アカウントを AWS Control Tower に登録する方法を説明します。
AWS Control Tower に既存の AWS アカウントを登録するには、次の前提条件を満たす必要があります。
注記
ランディングゾーンの [設定] ページで AWS Control Tower 自動登録機能をアクティブ化した場合、または登録 OU プロセスの一部としてアカウントを登録する場合は、AWSControlTowerExecution ロールを追加する前提条件は必要ありません。ただし、いずれの場合も、登録するアカウントには既存の AWS Config リソースがない可能性があります。「既存の AWS Config リソースを持つアカウントを登録する」を参照してください。
-
既存の AWS アカウントを登録するには、登録するアカウントに
AWSControlTowerExecutionロールが存在する必要があります。詳細と手順については、「アカウントを登録する」で参照できます。 -
AWSControlTowerExecutionロールに加えて、登録する既存の AWS アカウント には、以下のアクセス許可と信頼関係が必要です。それ以外の場合、登録は失敗します。ロールのアクセス許可:
AdministratorAccess(AWS マネージドポリシー)ロールの信頼関係:
-
アカウントが AWS Config 設定レコーダーまたは配信チャネルを持たないようにすることをお勧めします。アカウントを登録する前に、AWS CLI を使用してこれらを削除または変更できます。それ以外の場合、既存のリソースを変更する方法については、「既存の AWS Config リソースを持つアカウントを登録する」を確認してください。
-
登録するアカウントは、AWS Control Tower 管理アカウントと同じ AWS Organizations 組織に存在する必要があります。既存のアカウントは、AWS Control Tower 管理アカウントと同じ組織にのみ、AWS Control Tower に既に登録されている OU で登録できます。
登録に関するその他の前提条件を確認するには、「AWS Control Tower の開始方法」を参照してください。
注記
AWS Control Tower にアカウントを登録すると、そのアカウントは AWS Control Tower 組織の AWS CloudTrail 追跡によって管理されます。CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。
AWSControTowerExecution ロールでの信頼されたアクセスについて
既存の AWS アカウントを AWS Control Tower に登録する前に、アカウントを管理 (ガバナンス) する許可を AWS Control Tower に付与する必要があります。具体的には AWS Control Tower に、AWS CloudFormation と AWS Organizations との間に信頼されたアクセスを確立するアクセス許可が必要です。これにより、CloudFormation は、選択された組織のアカウントにスタックを自動的にデプロイできるようになります。この信頼されたアクセスでは、AWSControlTowerExecution ロールは、各アカウントを管理するために必要なアクティビティを実行します。そのため、登録する前にこのロールを各アカウントに追加する必要があります。
信頼されたアクセスが有効になっている場合、CloudFormation は、1 回のオペレーションで、複数のアカウントと AWS リージョンにまたがるスタックを作成、更新、または削除できます。AWS Control Tower はこの信頼機能を使用して既存のアカウントにロールとアクセス許可を適用します。その後、それらを登録済み組織単位に移動して、管理下に置くことができます。
信頼されたアクセスおよび AWS CloudFormation StackSets の詳細については、「AWS CloudFormationStackSets と AWS Organizations」を参照してください。
