翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ガバナンスを既存の組織に拡張する
<a name="about-extending-governance"></a>

AWS Control Tower のガバナンスを既存の組織に追加するには、「AWS Control Tower ユーザーガイド」の「[はじめに](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two)」のステップ 2 に記載されているように、ランディングゾーン (LZ) を設定します。

既存の組織に AWS Control Tower ランディングゾーンをセットアップするときは、以下のことが想定されます。
+  AWS Organizations 組織ごとに 1 つのランディングゾーンを設定できます。
+ AWS Control Tower は、既存の AWS Organizations 組織の管理アカウントを管理アカウントとして使用します。新しい管理アカウントは不要です。
+  AWS Control Tower は登録済み OU に 2 つの新しいアカウントとして、監査アカウントとログ記録アカウントを設定します。
+ 組織のサービスの制限により、これら 2 つの追加のアカウントの作成が許可されている必要があります。
+ ランディングゾーンを起動するか、OU を登録すると、その OU に登録されているすべてのアカウントに AWS Control Tower コントロールが自動的に適用されます。
+ AWS Control Tower によって管理される OU AWS に既存のアカウントを追加**で登録**して、それらのアカウントにコントロールを適用できます。
+  AWS Control Tower に OU を追加したり、既存の OU を**登録**したりできます。

登録に関するその他の前提条件を確認するには、「[AWS Control Tower の開始方法](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html)」を参照してください。

AWS Control Tower ランディングゾーンがセットアップされていない AWS Organizations の OU には、AWS Control Tower コントロールが適用**されません**。ここでは、その仕組みについて詳しく説明します。
+ AWS Control Tower Account Factory の外部で作成された新しいアカウントは、登録済み OU のコントロールによって制限されません。
+ AWS Control Tower に未登録の OU で作成された新しいアカウントは、特に **[Enroll]** (登録) で AWS Control Tower に登録していない限り、コントロールによって制限されません。アカウントの登録の詳細については、「[既存のアカウントの登録について](enroll-account.md)」を参照してください。
+ 追加の既存の組織、既存のアカウント、新しい OU、または AWS Control Tower の外部で作成したアカウントは、個別に OU を登録するか、アカウントを登録しない限り、AWS Control Tower コントロールによって制限されません。

既存の OU とアカウントに AWS Control Tower を適用する方法の詳細については、「[AWS Control Tower への既存の組織単位の登録](importing-existing.md)」を参照してください。

既存の組織に AWS Control Tower ランディングゾーンをセットアップするプロセスの概要については、次のセクションの動画を参照してください。

**注記**  
セットアップ中、AWS Control Tower は一般的な問題を回避するために事前チェックを実行します。ただし、現在 AWS ランディングゾーンソリューションを使用している場合は AWS Organizations、組織で AWS Control Tower を有効にして、AWS Control Tower が現在のランディングゾーンのデプロイを妨げる可能性があるかどうかを判断する前に、 AWS ソリューションアーキテクトに確認してください。また、ランディングゾーン間でのアカウントの移動については、「[アカウントが前提条件を満たしていない場合](fulfill-prerequisites.md)」を参照してください。

## 動画: 既存の でランディングゾーンを有効にする AWS Organizations
<a name="existing-orgs-video"></a>

この動画 (7:48) では、既存の AWS Organizations 構造で AWS Control Tower ランディングゾーンをセットアップして有効にする方法について説明します。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

[![AWS Videos](http://img.youtube.com/vi/CwRy0t8nfgM/0.jpg)](http://www.youtube.com/watch?v=CwRy0t8nfgM)


## IAM Identity Center および既存の組織に関する考慮事項
<a name="sso-and-existing-orgs"></a>
+  AWS IAM アイデンティティセンター (IAM Identity Center) が既に設定されている場合、AWS Control Tower ホームリージョンは IAM Identity Center リージョンと同じである必要があります。
+ AWS Control Tower は、既存の設定を削除しません。
+  IAM Identity Center が既に有効になっており、IAM Identity Center ディレクトリを使用している場合、AWS Control Tower は許可セット、グループなどのリソースを追加し、通常どおり続行します。
+ 別のディレクトリ (外部、AD、マネージド AD) が設定されている場合、AWS Control Tower は既存の設定を変更しません。詳細については、「[AWS IAM アイデンティティセンター (IAM Identity Center) のお客様に関する考慮事項](getting-started-prereqs.md#sso-considerations)」を参照してください。

## 他の AWS サービスへのアクセス
<a name="other-services"></a>

組織を AWS Control Tower ガバナンスに導入した後も、 コンソールと APIs を使用して AWS Organizations AWS Organizations 、 を通じて利用可能な AWS サービスにアクセスできます。詳細については、「[AWS の関連サービス](related-information.md#related-aws-services)」を参照してください。