AWS Control Tower の外部でリソースを管理する場合 - AWS Control Tower
AWS Control Tower の外部にあるリソースの参照AWS Control Tower の外部でのリソース名の変更セキュリティ OU の削除セキュリティ OU からのアカウントの削除自動的に更新される外部変更

AWS Control Tower の外部でリソースを管理する場合

AWS Control Tower はお客様に代わってアカウント、組織単位、その他のリソースをセットアップしますが、これらのリソースの所有者はお客様です。これらのリソースは、AWS Control Tower の内部または外部で変更できます。AWS Control Tower の外部でリソースを変更する最も一般的な場所は、AWS Organizations コンソールです。このトピックでは、AWS Control Tower の外部で変更を行う場合に、AWS Control Tower リソースへの変更を調整する方法について説明します。

AWS Control Tower コンソールの外部でリソースの名前変更、削除、移動を行うと、コンソールが同期しなくなります。変更の多くは自動的に調整されます。変更によっては、ランディングゾーンをリセットして、AWS Control Tower コンソールに表示される情報を更新する必要があります。

一般に、AWS Control Tower コンソールの外部で AWS Control Tower リソースに加えた変更により、ランディングゾーンで解決可能なドリフトの状態が発生します。これらの変更の詳細については、「リソースへの修復可能な変更」を参照してください。

ランディングゾーンのリセットが必要なタスク

  • セキュリティ OU の削除 (特殊なケースであるため、不用意に行わないでください)

  • セキュリティ OU からの共有アカウントの削除 (非推奨)

  • セキュリティ OU に関連付けられた SCP の更新、アタッチ、またはデタッチ。

AWS Control Tower によって自動的に更新される変更

  • 登録済みアカウントの E メールアドレスの変更

  • 登録済みアカウントの名前変更

  • 新しい最上位の組織単位 (OU) の作成

  • 登録済み OU の名前変更

  • 登録済み OU の削除 (更新が必要なセキュリティ OU は除きます)

  • 登録済みアカウントの削除 (セキュリティ OU の共有アカウントは除きます)

注記

AWS Service Catalog は AWS Control Tower とは異なる方法で変更を処理します。AWS Service Catalog が変更を調整すると、管理体制が変更される可能性があります。プロビジョニング済み製品の更新の詳細については、AWS Service Catalog のドキュメントの「プロビジョニング済み製品の更新」を参照してください。

AWS Control Tower の外部にあるリソースの参照

AWS Control Tower の外部で新しい OU とアカウントを作成した場合は、それらが表示されていても、AWS Control Tower の管理対象外となります。

OU の作成

AWS Control Tower の外部で作成された組織単位 (OU) は未登録と見なされます。そうした OU は、[Organization] (組織) ページに表示されますが、AWS Control Tower コントロールの管理対象外となります。

アカウントの作成

AWS Control Tower の外部で作成されたアカウントは未登録と見なされます。AWS Control Tower に登録済みの OU に属する登録済みアカウントと未登録アカウントは、[Organization] (組織) ページに表示されます。登録済み OU に属していないアカウントは、AWS Organizations コンソールを使用して招待できます。この招待の目的は、アカウントを AWS Control Tower に登録したり、AWS Control Tower の管理対象をアカウントに拡大したりすることではありません。アカウントを登録して管理対象を拡大するには、AWS Control Tower で [Organization] (組織) ページまたは [Account detail] (アカウント詳細) に移動し、 [Enroll account] (アカウントを登録) を選択します。

AWS Control Tower の外部でのリソース名の変更

AWS Control Tower コンソールの外部で組織単位 (OU) とアカウントの名前を変更できます。変更すると、その変更を反映するためにコンソールが自動的に更新されます。

OU の名前変更

AWS Organizations では、AWS Organizations API またはコンソールを使用して、OU の名前を変更できます。AWS Control Tower の外部で OU 名を変更すると、AWS Control Tower コンソールに名前の変更が自動的に反映されます。ただし、AWS Service Catalog を使用してアカウントをプロビジョニングする場合は、AWS Control Tower と AWS Organizations との間で整合性が保たれるようにランディングゾーンをリセットする必要もあります。[リセット] ワークフローにより、基礎 OU と追加 OU のサービス間で整合性が保たれます。このタイプのドリフトは、[ランディングゾーン設定] ページから解決できます。「AWS Control Tower でドリフトを検出および解決する」の「ドリフトの解決」を参照してください。

AWS Control Tower ダッシュボードの [Organization] (組織) ページに OU の名前が表示されます。ランディングゾーンのリセットオペレーションが正常に完了したことを確認できます。

登録済みアカウントの名前変更

各 AWS アカウントの表示名は、アカウントのルートユーザーが AWS Billing and Cost Management コンソールで変更できます。AWS Control Tower に登録されているアカウントの名前を変更すると、その名前変更が AWS Control Tower に自動的に反映されます。アカウント名の変更の詳細については、「AWS 請求ユーザーガイド」の「AWS アカウントを管理する」を参照してください。

セキュリティ OU の削除

このタイプのドリフトは特殊なケースです。セキュリティ OU を削除すると、ランディングゾーンのリセットを求めるエラーメッセージページが表示されます。AWS Control Tower で他のアクションを実行する前に、ランディングゾーンをリセットする必要があります。

  • リセットが完了するまで、AWS Control Tower コンソールでいずれのアクションも実行できず、AWS Service Catalog で新しいアカウントを作成することもできません。

  • [ランディングゾーン設定] ページを開いても、そのページに [リセット] ボタンは表示されません。

この状況では、ランディングゾーンのリセットプロセスによって、新しいセキュリティ OU が作成され、2 つの共有アカウントが新しいセキュリティ OU に移動されます。AWS Control Tower は、ログアーカイブアカウントと監査アカウントをドリフト済みとしてマークします。どちらのアカウントでも同じプロセスでドリフトが解決されます。

[Security] (セキュリティ) OU を削除する必要があると判断した場合は、次の点に留意してください。

[Security] (セキュリティ) OU を削除する前に、その OU にアカウントが含まれていないことを確認する必要があります。具体的には、OU からログアーカイブアカウントと監査アカウントを削除する必要があります。これらのアカウントを別の OU に移動することをお勧めします。

注記

セキュリティ OU を削除するアクションは不用意に実行しないでください。ログが一時的に停止されている場合、一部のコントロールが適用されない可能性があるため、このアクションによりコンプライアンスの問題が発生することがあります。

ドリフトに関する一般的な情報については、「AWS Control Tower でドリフトを検出および解決する」の「ドリフトの解決」を参照してください。

セキュリティ OU からのアカウントの削除

組織から共有アカウントを削除したり、[Security] (セキュリティ) OU から共有アカウントを移動したりすることはお勧めしません。誤って共有アカウントを削除した場合は、このセクションの修復ステップに従ってアカウントを復元できます。

  • AWS Control Tower コンソール内から: 修復プロセスを開始するには、半手動修復ステップに従います。AWS Control Tower コンソールへのアクセスに使用するユーザーまたはロールに、organizations:InviteAccountToOrganization を実行する許可があることを確認します。このような許可がない場合は、AWS Control Tower コンソールと AWS Organizations コンソールの両方を使用した手動修復ステップに従います。

  • AWS Organizations コンソールからの開始: この修復プロセスは、少し時間のかかる完全手動の手順です。手動修復ステップに従うときは、AWS Organizations コンソールと AWS Control Tower コンソールを切り替えて使用することになります。AWS Organizations で作業するときは、AWSOrganizationsFullAccess マネージドポリシーまたは同等のものを持つユーザーまたはロールが必要です。AWS Control Tower コンソールで作業するときは、AWSControlTowerServiceRolePolicy マネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controtower: *) を持つユーザーまたはロールが必要です。

  • 修復ステップでアカウントが復元されない場合は、AWS サポート にお問い合わせください。

AWS Organizations で共有アカウントを削除した場合の結果:

  • AWS Control Tower の必須のコントロールのサービスコントロールポリシー (SCP) によってアカウントが保護されなくなります。結果: AWS Control Tower によってアカウント内に作成されたリソースが変更または削除される場合があります。

  • アカウントが AWS Organizations 管理アカウントではなくなります。結果: AWS Organizations 管理アカウントの管理者がアカウントの使用量を把握できなくなります。

  • アカウントが AWS Config によってモニタリングされる保証がなくなります。結果: AWS Organizations 管理アカウントの管理者がリソースの変更を検出できなくなる可能性があります。

  • アカウントが組織内に存在しなくなります。結果: AWS Control Tower の更新とリセットが失敗します。

AWS Control Tower コンソールを使用して共有アカウントを復元するには (半手動の手順)

  1. https://console.aws.amazon.com/controltower で AWS Control Tower コンソールにサインインします。organizations:InviteAccountToOrganization を実行する許可を持つ IAM ユーザー、IAM Identity Center のユーザー、またはロールとしてサインインする必要があります。このような許可がない場合は、このトピックで後述する手動修復ステップを使用してください。

  2. [Landing zone drift detected] (ランディングゾーンのドリフトが検出されました) ページで、[Re-Invite] (再招待) を選択して、共有アカウントを組織に再招待することで共有アカウントの削除を修復します。自動的に生成された E メールが、アカウントの E メールアドレスに送信されます。

  3. 招待を承諾して、共有アカウントを組織に戻します。以下のいずれかを実行します。

    • 削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites に移動します。

    • アカウントを再招待したときに送信された E メールメッセージにアクセスできる場合は、削除したアカウントにサインインし、メッセージ内のリンクをクリックして、アカウントの招待に直接移動します。

    • 削除された共有アカウントが別の組織にない場合は、アカウントにサインインし、AWS Organizations コンソールを開いて、[Invitations] (招待) に移動します。

  4. 管理アカウントに再度サインインするか、AWS Control Tower コンソールが既に開いている場合は再ロードします。[Landing zone drift] (ランディングゾーンドリフト) ページが表示されます。[リセット] を選択してランディングゾーンを修復します。

  5. リセットプロセスが完了するまで待ちます。

修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。

修復ステップでアカウントが復元されない場合は、AWS サポート にお問い合わせください。

AWS Control Tower と AWS Organizations コンソールを使用して共有アカウントを復元するには (手動修復)

  1. https://console.aws.amazon.com/organizations/ で AWS Organizations コンソールにサインインします。AWSOrganizationsFullAccess マネージドポリシーまたは同等のものを持つ IAM ユーザー、IAM Identity Center のユーザー、またはロールとしてサインインする必要があります。

  2. 共有アカウントを組織に招待し直します。アカウントを AWS Organizations に招待するための要件、前提条件、および手順については、「AWS Organizations ユーザーガイド」の「組織への AWS アカウントの招待」を参照してください。

  3. 削除された共有アカウントにサインインし、https://console.aws.amazon.com/organizations/home#/invites に移動して、招待を承諾します。

  4. 管理アカウントにもう一度サインインします。。

  5. AWSControlTowerServiceRolePolicy マネージドポリシーまたは同等のものと、すべての AWS Control Tower アクションを実行する許可 (controltower:*) を持つユーザーまたはロールとして、AWS Control Tower コンソールにサインインします。

  6. [ランディングゾーンのドリフト] ページが表示されます。ここには、ランディングゾーンをリセットするオプションがあります。[リセット] を選択してランディングゾーンを修復します。

  7. リセットプロセスが完了するまで待ちます。

修復が成功すると、共有アカウントが通常の状態およびコンプライアンスで表示されます。

修復ステップでアカウントが復元されない場合は、AWS サポート にお問い合わせください。

自動的に更新される外部変更

アカウントの E メールアドレスに加えた変更は、AWS Control Tower では自動的に更新されますが、Account Factory では自動的に更新されません。

管理対象アカウントの E メールアドレスの変更

AWS Control Tower は、コンソールエクスペリエンスから求められた E メールアドレスを取得して表示します。したがって、共有アカウントおよびその他のアカウントの E メールアドレスは、変更後も常に更新され、AWS Control Tower に表示されます。

注記

AWS Service Catalog では、プロビジョニングされた製品を作成したときにコンソールで指定したパラメータが Account Factory によって表示されます。ただし、元のアカウントの E メールアドレスは変更されても、自動的には更新されません。これは、アカウントがプロビジョニングされた製品に概念的に含まれているためです。プロビジョニングされた製品とは異なります。この値を更新するには、プロビジョニングされた製品を更新する必要があります。これにより、ガバナンス体制が変更される可能性があります。

外部の AWS Config ルールの適用

AWS Control Tower には、AWS Control Tower コンソールの外部でアクティブ化されたルールを含め、AWS Control Tower に登録している組織単位にデプロイされたすべての AWS Config ルールのコンプライアンスステータスが表示されます。

AWS Control Tower の外部での AWS Control Tower リソースの削除

AWS Control Tower で OU とアカウントを削除でき、これ以上のアクションを実行することなく更新を確認できます。Account Factory は、OU を削除したときには自動的に更新されますが、アカウントを削除したときには更新されません。

登録済み OU の削除 (セキュリティ OU は除きます)

AWS Organizations 内では、API またはコンソールを使用して、空の組織単位 (OU) を削除できます。アカウントを含む OU は削除できません。

OU を削除すると、AWS Organizations から AWS Control Tower に通知が届きます。また、Account Factory の OU リストが更新されて、登録済み OU のリストの整合性が保たれます。

注記

AWS Service Catalog では、Account Factory が更新されて、アカウントをプロビジョニングできる OU のリストから、削除された OU が除外されます。

OU からの登録済みアカウントの削除

登録済みアカウントを削除すると、AWS Control Tower に通知が届いて更新が行われます。これにより、情報の整合性が保たれます。

注記

AWS Service Catalog では、Account Factory でプロビジョニングされた製品のうち管理対象アカウントを表すものは更新されず、アカウントは削除されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、AWS Service Catalog に移動し、プロビジョニングされた製品を選択してから、[Terminate] (削除) を選択します。