AWS Control Tower コンソールから既存のアカウントを登録する

• AWS Control Tower コンソールで使用できるアカウント登録機能は、AWS Control Tower によって管理 AWS アカウント されるように既存の を登録することを目的としています。詳細については、「既存の AWS アカウントの登録」を参照してください。

• コンソールベースの [アカウントの登録] 機能は、ランディングゾーンがドリフト状態でないときに使用できます。ランディングゾーンがドリフト状態にある場合は、[Enroll account] (アカウントの登録) 機能を正常に使用できないことがあります。ランディングゾーンのドリフトが解決されるまで、Account Factory または他の方法を使用して新しいアカウントをプロビジョニングする必要があります。

• AWS Control Tower コンソールからアカウントを登録する場合は、AWS Control Tower コンソールを使用する管理者権限と共に、AWSServiceCatalogEndUserFullAccess ポリシーが有効になっているユーザーでアカウントにサインインする必要があり、ルートユーザーとしてサインインすることはできません。

• 登録するアカウントは、他のアカウントを更新する場合と同様に、 および AWS Control Tower Account Factory を使用して更新できます。更新手順については、「AWS Control Tower でアカウントを更新して移動する」セクションを参照してください。

コンソールから AWS Control Tower に個別のアカウントを登録するには

• AWS Control Tower の [Organization] (組織) ページに移動します。

• [Organization] (組織) ページで、登録できるアカウントでは、セクション上部の [Actions] ドロップダウンメニューから [Enroll] を選択できます。これらのアカウントには、[Account details] (アカウントの詳細) ページでも [Enroll account] (アカウントの登録) ボタンが表示されます。

• [Enroll account] (アカウントの登録) を選択した場合、[Enroll account] (アカウントの登録) ページが表示され、AWSControlTowerExecution ロールをアカウントに追加するよう促されます。手順については、「必要な IAM ロールを既存の に手動で追加 AWS アカウント して登録する」を参照してください。

• 次に、ドロップダウンの一覧から登録された OU を選択します。アカウントが既に登録済みの OU にある場合、このリストには OU が表示されます。

• [[Enroll account（アカウントの登録）] を選択します。

• AWSControlTowerExecution ロールを追加するためのモーダルリマインダーが表示されるので、アクションを確認します。

• [Enroll] (登録する) を選択します。

• AWS Control Tower は登録プロセスを開始し、[Account details] (アカウントの詳細) ページに戻ります。

• 既存のアカウントを登録するには、登録するアカウントに AWSControlTowerExecution ロールが存在する必要があります。

• IAM プリンシパルに、アカウントをプロビジョニングするアクセス許可がない可能性があります。

• AWS Security Token Service (AWS STS) は、ホームリージョンの AWS アカウント 、または AWS Control Tower でサポートされている任意のリージョンで無効になっています。

• AWS Service Catalogの Account Factory ポートフォリオに追加する必要があるアカウントにサインインしている場合があります。アカウントを AWS Control Tower で作成または登録できるように、Account Factory にアクセスする前に、アカウントを追加する必要があります。適切なユーザーまたはロールが Account Factory ポートフォリオに追加されていない場合、アカウントを追加しようとするとエラーが発生します。 AWS Service Catalog ポートフォリオへのアクセスを許可する方法については、「 ユーザーへのアクセスを許可する」を参照してください。

• root としてサインインしている可能性があります。

• 登録しようとしているアカウントには、残っている AWS Config 設定がある可能性があります。特に、アカウントに設定レコーダーや配信チャネルを持たないようにできます。これらは、アカウントを登録する AWS CLI 前に、 を通じて削除または変更する必要があります。詳細については、「既存の AWS Config リソースがあるアカウントを登録する」および「AWS Control Towerを通じて を操作するAWS CloudShell」を参照してください。

• アカウントが別の AWS Control Tower OU を含む管理アカウントを持つ別の OU に属している場合、別の OU に参加する前に、現在の OU のアカウントを終了する必要があります。元の OU で既存のリソースを削除する必要があります。それ以外の場合、登録は失敗します。

• 目的の OU の SCP で、そのアカウントに必要なすべてのリソースの作成が許可されていない場合、アカウントのプロビジョニングと登録は失敗します。例えば、目的の OU 内の SCP は、特定のタグのないリソースの作成をブロックする場合があります。この場合、AWS Control Tower はリソースのタグ付けをサポートしていないため、アカウントのプロビジョニングまたは登録は失敗します。サポートについては、アカウント担当者または サポートにお問い合わせください。

推奨: アカウントの登録に 2 段階のアプローチを設定する

• まず、コン AWS Config フォーマンスパックを使用して、アカウントがいくつかの AWS Control Tower コントロールによってどのように影響を受けるかを評価します。AWS Control Tower への登録がアカウントにどのように影響するかを確認するには、「コンフォーマンスパックを使用した AWS Control Tower AWS Config ガバナンスの拡張」を参照してください。

• 次に、アカウントを登録できます。コンプライアンスの結果が満足のいくものであれば、予期しない結果を招くことなくアカウントを登録できるため、移行パスが簡単になります。

• 評価が完了したら、AWS Control Tower ランディングゾーンを設定する場合は、評価用に作成された AWS Config 配信チャネルと設定レコーダーを削除する必要がある場合があります。そうすれば、AWS Control Tower を正常にセットアップできるようになります。