翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Account Factory でのアカウントのプロビジョニングと管理
<a name="account-factory"></a>

**注記**  
単一アカウントのプロビジョニング、更新、カスタマイズは、AWSControlTowerBaseline を有効にした組織単位 (OU) をターゲットにする必要があります。OU で AWSControlTowerBaseline が有効になっていない場合は、アカウントの自動登録を有効にするか、EnabledBaseline で ResetEnabledBaseline API と ResetEnabledControl APIs を使用し、その OU で EnabledControls を使用してアカウントを登録できます。 EnabledBaselines AWSControlTowerBaseline の詳細については、「」を参照してください[OU レベルで適用されるベースラインタイプ](types-of-baselines.md#ou-baseline-types)。

 この章では、Account Factory を使用して AWS Control Tower ランディングゾーンに新しいメンバーアカウントをプロビジョニングするための概要と手順について説明します。

## アカウントの設定とプロビジョニングのためのアクセス許可
<a name="configure-provision-new-account"></a>

AWS Control Tower Account Factory を使用すると、 のクラウド管理者とユーザーがランディングゾーンにアカウント AWS IAM アイデンティティセンター をプロビジョニングできます。デフォルトでは、IAM Identity Center ユーザーは `AWSAccountFactory` グループまたは管理グループに属している必要があります。

**注記**  
組織全体で許可を持つアカウントを使用する場合と同様に、管理アカウントから作業するときは注意が必要です。

AWS Control Tower 管理アカウントには `AWSControlTowerExecution` ロールとの信頼関係があります。これにより、一部の自動アカウント設定も含めて、管理アカウントからのアカウント設定が可能になります。`AWSControlTowerExecution` ロールの詳細については、「[Roles and accounts](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html)」を参照してください。

**注記**  
既存の AWS アカウント を AWS Control Tower に登録するには、そのアカウントで`AWSControlTowerExecution`ロールが有効になっている必要があります。既存のアカウントを登録する方法の詳細については、「[既存のアカウントの登録について](enroll-account.md)」を参照してください。

権限の詳細については、「[アカウントのプロビジョニングに必要なアクセス許可](provision-and-manage-accounts.md#permissions)」を参照してください。

## Account Factory アカウントの管理に関する考慮事項
<a name="closing-and-repurposing"></a>

 Account Factory を使用して作成およびプロビジョニングしたアカウントは、更新、登録解除、および閉鎖できます。転用したいアカウントのユーザーパラメータを更新することで、アカウントを再利用できます。アカウントの組織単位 (OU) を変更することもできます。

**注記**  
 Account Factory が供給するアカウントに関連付けられているプロビジョニング済み製品を更新するときに、新しいユーザーの E メールアドレスを指定すると AWS IAM アイデンティティセンター、AWS Control Tower は IAM Identity Center に新しいユーザーを作成します。以前に作成したアカウントは削除されません。IAM Identity Center から以前の IAM Identity Center ユーザーの E メールアドレスを削除する方法については、「[Disabling a User](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html)」(ユーザーを無効にする) を参照してください。

# AWS Control Tower でアカウントを更新して移動する
<a name="updating-account-factory-accounts"></a>

登録したアカウントを更新する最も簡単な方法は、AWS Control Tower コンソールから行うことです。個々のアカウントの更新は、[移動されたメンバーアカウント](governance-drift.md#drift-account-moved) のようなドリフトを解決するのに役立ちます。ランディングゾーンの完全な更新の一部として、アカウントの更新も必要です。

## コンソールでアカウントを更新する
<a name="update-account-in-console"></a>

**AWS Control Tower コンソールでアカウントを更新するには**

1. AWS Control Tower の **[Organization]** (組織) ページに移動します。

1. OU のリストで、更新するアカウントの名前を選択します。更新可能なアカウントには、**[Update available]** (更新可能) のステータスが表示されます。

1. 次に、選択したアカウントのページの **[Account details]** (アカウントの詳細) が表示されます。

1. 右上の **[Update account]** (アカウントの更新) を選択します。

ある組織単位 (OU) から別の OU にアカウントを移動する場合、新しい OU によって適用されるコントロールが以前の OU のコントロールとは異なる場合があることに注意してください。新しい OU のコントロールがアカウントのポリシー要件を満たしている必要があります。

AWS Control Tower アカウントは、アカウントの自動登録をオプトインしたかどうかによって変更されます。自動登録の詳細については、「[オプションでアカウントの自動登録を設定する](configure-auto-enroll.md)」を参照してください。

**自動登録を使用して、アカウントが OU 間を移動するときの動作を制御する**

アカウントを新しい OU に移動するとき、AWS Control Tower は OU で有効なベースラインとコントロールをアカウントに適用します。前の OU のコントロールとベースラインは削除されます。登録されている OU の外部にアカウントを移動すると、AWS Control Tower はデプロイされたすべてのベースラインとコントロールを削除します。

**自動登録を使用しないで、アカウントが OU 間を移動するときの動作を制御する**

アカウントを OU 間で移動するとき、宛先 OU のコントロールがアカウントに適用されます。ただし、以前の OU のアカウントに適用されていたコントロールは削除されません。コントロールの正確な動作は、以前の OU と宛先 OU でアクティブなコントロールの実装に固有です。
+  * AWS Config ルールで実装されたコントロールの場合:* 前の OU のコントロール
 は削除されません。このようなコントロールは手動で削除する必要があります。
+ *SCP を使用して実装されたコントロールの場合:* 以前の OU の SCP ベースのコントロールは削除されます。宛先 OU の SCP ベースのコントロールがこのアカウントで有効になります。
+  CloudFormation フックを使用して実装されたコントロールの場合: この動作は、新しい OU のコントロールのステータスによって異なります**。
  + 宛先 OU でフックベースのコントロールが有効になっていない場合: 古いコントロールは、手動で削除しない限り、移動したアカウントに対して有効なままとなります**。
  + 宛先 OU でフックのコントロールが有効になっている場合: 古いコントロールは削除され、宛先 OU のコントロールがアカウントに適用されます**。

# 登録済みアカウントの E メールアドレスの変更
<a name="change-account-email"></a>

 AWS Control Tower で登録されたメンバーアカウントの E メールアドレスを変更するには、このセクションの手順に従います。

**注記**  
 以下の手順では、**管理アカウント**、**ログアーカイブアカウント**、または**監査アカウント**の E メールアドレスを変更することはできません。詳細については、[AWS 「アカウントに関連付けられた E メールアドレスを変更するにはどうすればよいですか?](https://aws.amazon.com//premiumsupport/knowledge-center/change-email-address/)」または「 サポート」にお問い合わせください AWS 。

**AWS Control Tower によって作成されたアカウントの E メールアドレスを変更するには**

1.  アカウントのルートユーザーパスワードを回復します。[「紛失または忘れた AWS パスワードを復元するにはどうすればよいですか？」の記事の手順に従います。](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)

1.  ルートユーザーパスワードでアカウントにサインインします。

1.  E メールアドレスを他のメールアドレスと同じように変更し AWS アカウント、変更が反映されるまで待ちます AWS Organizations。E メールアドレスの変更による更新が完了するまで、遅延が発生する可能性があります。

1.  アカウントに以前にあった E メールアドレスを使用して、Service Catalog でプロビジョニング済み製品を更新します。プロビジョニング済み製品を更新するプロセスには、新しい E メールアドレスのプロビジョニング済み製品への関連付けが含まれます。これにより、E メールアドレスの変更が AWS Control Tower で有効になります。今後プロビジョニングされる製品の更新には、新しい E メールアドレスを使用します。

 AWS Organizationsで作成したメンバーアカウントのパスワードまたは E メールアドレスを変更するには、「*AWS Organizations ユーザーガイド*」の「[ルートユーザーとしてのメンバーアカウントへのアクセス](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root)」を参照してください。

または、ルートユーザーとしてログインしなくても、 AWS Organizations コンソールから Account Factory または他のメンバーアカウントの E メールアドレスを更新できます。詳細については、「*AWS Organizations User Guide*」の「[Updating the root user email address for a member account with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)」を参照してください。

# 登録済みアカウントの名前を変更する
<a name="change-account-name"></a>

このセクションの手順に従って、登録された AWS Control Tower アカウントの名前を変更します。

**注記**  
 AWS *管理者*アカウントの名前を変更するには、管理者権限があり、アカウントのルートユーザーとしてログインしている必要があります。

**AWS Organizations コンソールまたは APIs を使用して AWS Control Tower によって作成されたアカウントの名前を変更するには**
+ 「*AWS アカウント管理リファレンスガイド*」に[記載されている手順](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs)に従ってください。

**AWS Control Tower によって作成されたアカウントの名前を変更する代替方法**

1. アカウントの root パスワードを回復します。この記事で説明されている手順に従います。[紛失または忘れた AWS パスワードを復元するにはどうすればよいですか?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)

1. root パスワードでアカウントにサインインします。

1.  AWS Billing コンソールで、**アカウント設定**ページに移動します。

1. その他の AWS アカウントの場合と同様に、**[Account settings]** (アカウント設定) で名前を変更します。

1. AWS Control Tower が自動的に更新され、名前の変更が反映されます。この更新は、 AWS Service Catalogのプロビジョニング済み製品には反映されません。

# Amazon Virtual Private Cloud の設定を使用して Account Factory を構成する
<a name="configuring-account-factory-with-VPC-settings"></a>

Account Factory により、組織内のアカウントに対して、事前承認済みのベースラインと設定オプションを作成できます。 AWS Service Catalogを通じて新しいアカウントを設定し、プロビジョニングできます。

Account Factory ページに、組織単位 (OU) のリストとその**許可リスト**のステータスが表示されます。デフォルトでは、すべての OU が許可リストに表示されます。つまり、アカウントは OU の下でプロビジョニングできます。アカウントプロビジョニングのために特定の OUsを無効にすることができます AWS Service Catalog。

エンドユーザーが新しいアカウントをプロビジョニングするときに使用できる Amazon VPC 設定オプションを表示できます。

**Account Factory で Amazon VPC 設定を構成するには**

1. 中央のクラウド管理者として、管理アカウントの管理者権限で AWS Control Tower コンソールにサインインします。

1. ダッシュボードの左側から **[Account Factory]** を選択し、Account Factory ネットワーク設定ページに移動します。そこに、デフォルトのネットワーク設定が表示されます。編集するには、**[Edit]** (編集) を選択し、編集可能なバージョンの Account Factory ネットワーク設定を表示します。

1. 必要に応じて、デフォルト設定の各フィールドを変更できます。エンドユーザーが作成できるすべての新しい Account Factory アカウントに指定する VPC 設定オプションを選択し、該当する設定をフィールドに入力します。
+ **[disabled]** (無効) または **[enabled]** (有効) を選択して、Amazon VPC にパブリックサブネットを作成します。デフォルトでは、インターネットにアクセス可能なサブネットは許可されません。
**注記**  
新しいアカウントをプロビジョニングするときにパブリックサブネットが**有効**になるように Account Factory の VPC 設定を定義すると、Account Factory によって Amazon VPC が設定されて、[NAT ゲートウェイ](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-nat-gateway.html)が作成されます。料金は Amazon VPC による使用量に対して請求されます。詳細については、「[Amazon VPC の料金](https://aws.amazon.com//vpc/pricing/)」を参照してください。
+ リストから、Amazon VPC のプライベートサブネットの最大数を選択します。デフォルトでは、[1] が選択されています。許可されるプライベートサブネットの最大数は、アベイラビリティーゾーンごとに 2 です。
+  アカウントの VPC を作成するための IP アドレスの範囲を入力します。この値は、クラスレスドメイン間ルーティング (CIDR) ブロックの形式 (例: デフォルトは `172.31.0.0/16`) であることが必要です。この CIDR ブロックは、アカウント用に Account Factory が作成する VPC の全範囲のサブネット IP アドレスを提供します。VPC 内では、サブネットは指定した範囲から自動的に割り当てられ、各サブネットは同じサイズになります。デフォルトでは、VPC 内のサブネットは重複しません。ただし、プロビジョニングされたすべてのアカウントの VPC 間ではサブネット IP アドレス範囲が重複する場合があります。
+ アカウントのプロビジョニング時に VPC を作成する 1 つのリージョンまたはすべてのリージョンを選択します。デフォルトでは、すべての使用可能なリージョンが選択されます。
+ リストから、各 VPC にサブネットを設定するアベイラビリティーゾーンの数を選択します。デフォルト値および推奨値は 3 です。
+ **[Save]** (保存) を選択します。

 これらの設定オプションを設定して、VPC を含まない新しいアカウントを作成できます。詳しくは「[チュートリアル](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)」を参照してください。

# アカウントを登録解除する
<a name="unmanage-account"></a>

Account Factory でアカウントを作成したか、 を登録し AWS アカウント、ランディングゾーンでアカウントを AWS Control Tower によって管理する必要がなくなった場合は、AWS Control Tower コンソールからアカウント*を登録解除*できます。

AWS Control Tower アカウントを登録解除すると、AWS Control Tower によってプロビジョニングされたすべてのリソースがコントロールとブループリントも含めて削除されます。アカウントは AWS Control Tower OU から**ルート**エリアに移動されます。アカウントは登録済み OU の一部ではなくなり、AWS Control Tower の SCP の対象ではなくなります。アカウントは を通じて閉鎖できます AWS Organizations。

**AWS Control Tower コンソールから登録済みアカウントの登録を解除するには**

1. ウェブブラウザで AWS Control Tower コンソール ([https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)) を開きます。

1. 左側のナビゲーションペインから、**[組織]** を選択します。

1. **[組織]** ページで、OU の近くにある **\$1** ボタンを選択して、アカウントを含む OU を展開します。

1. アカウントを選択し、**[管理を解除]** を選択します。

**注記**  
アカウントのステータスが **[未登録]** と表示されるまで待ちます。

このアカウントが不要になった場合は、解約します。 AWS アカウント解約の詳細については、「*AWS Billing ユーザーガイド*」の「[アカウントの解約](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)」を参照してください。

**自動登録がアクティブになったときにアカウントの登録を解除する**  
**[設定]** ページで自動登録機能が有効になっている場合は、AWS Control Tower に登録されていない OU に移動してアカウントの登録を解除することもできます。すべての AWS Control Tower リソースが削除されます。この方法で誤ってアカウントの登録を解除しないように注意してください。ただし、OU に戻すことでアカウントを再登録できます。

カスタマイズされたアカウントの登録を解除すると、ランディングゾーンによってデプロイされたリソースと、AWS Control Tower がアカウント内に作成したその他のリソースが AWS Control Tower によって削除されます。手動で追加された場合でも、AWS Control Tower は **AWSControlTowerExecution** ロールも削除します。このロールを削除すると、サービス実行ロールは管理対象外のアカウントに残らないため、最小特権の原則に一致します。

アカウントを登録解除したら、アカウントを閉鎖できます AWS Organizations。

**注記**  
登録解除されたアカウントは解約も削除もされていません。アカウントが登録解除されても、Account Factory でアカウントを作成する際に選択した IAM アイデンティティセンターユーザーは引き続きこのアカウントに対する管理者権限を保持します。このユーザーに管理者権限を持たせないようにするには、Account Factory でアカウントを更新し、このアカウントの IAM Identity Center ユーザー E メールアドレスを変更して、IAM Identity Center のこの設定を変更する必要があります。詳細については、「[AWS Control Tower でアカウントを更新して移動する](updating-account-factory-accounts.md)」を参照してください。

## 動画チュートリアル
<a name="unmanage-account-video"></a>

この動画 (3 分 25 秒) では、AWS Control Tower からのアカウントの削除、アカウントへのルートアクセスの取得、最後に AWS アカウントの解約を行う方法を示します。アカウントを解約するには、[AWS Organizations API](https://docs.aws.amazon.com//controltower/latest/userguide/delete-account.html) を使用することもできます。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

[![AWS Videos](http://img.youtube.com/vi/n3eALEKZaHc/0.jpg)](http://www.youtube.com/watch?v=n3eALEKZaHc)


AWS Control Tower の一般的なタスクを説明する AWS [YouTube 動画](https://www.youtube.com/playlist?list=PLhr1KZpdzukdS9skEXbY0z67F-wrcpbjm)のリストを表示できます。

# Account Factory で作成されたアカウントを解約する
<a name="delete-account"></a>

Account Factory で作成されたアカウントは です AWS アカウント。 AWS アカウントの解約の詳細については、「[https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html )」の「[Closing an account](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)」を参照してください。

**注記**  
 の閉鎖 AWS アカウント は、AWS Control Tower からのアカウントの登録解除とは異なります。これらは個別のアクションです。アカウントを解約する前に、アカウントを登録解除する必要があります。

## を使用して AWS Control Tower メンバーアカウントを閉鎖する AWS Organizations
<a name="close-account-with-orgs-api"></a>

組織の管理アカウントから AWS Control Tower メンバーアカウントを閉鎖できます。ルート認証情報を使用して各メンバーアカウントに個別にサインインする必要はありません AWS Organizations。ただし、この方法で管理アカウントを解約することはできません。

 AWS Organizations [CloseAccount API](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) を呼び出すか、 AWS Organizations コンソールでアカウントを閉じると、メンバーアカウントは AWS アカウント 90 日間分離されます。アカウントのステータスは、AWS Control Tower と AWS Organizationsで **[Suspended]** (停止) となります。この 90 日間にアカウントを操作しようとすると、AWS Control Tower からエラーメッセージが表示されます。

**注記**  
OU がアカウントを停止した場合、ターゲットのリージョンコントロールの EnabledControl オペレーションは失敗します。

90 日が経過する前に、メンバーアカウントを復元できます AWS アカウント。90 日が過ぎると、アカウントのレコードは削除されます。

ベストプラクティスとして、メンバーアカウントを解約する前に、そのアカウントを登録解除することをお勧めします。メンバーアカウントを最初に管理解除せずに解約すると、AWS Control Tower でアカウントのステータスは **[Suspended]** (停止) とともに **[Enrolled]** (登録済み) と表示されます。その結果、この 90 日の期間中にアカウントの OU を**再登録**しようとすると、AWS Control Tower からエラーメッセージが表示されます。停止中のアカウントは、基本的に、事前チェックに失敗した再登録アクションをブロックします。OU からアカウントを削除すると、OU **を再登録**できますが、アカウントの支払い方法がないとエラーが発生する AWS 可能性があります。この制約を回避するには、別の OU を作成し、この OU にアカウントを移動してから再登録を試みます。この OU の名前は、**Suspended** OU とすることをお勧めします。

**注記**  
アカウントを解約する前に登録を解除しない場合は、その 90 日が経過 AWS Service Catalog した後に でアカウントのプロビジョニング済み製品を削除する必要があります。

詳細については、 [CloseAccount API](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) に関する AWS Organizations ドキュメントを参照してください。

# Account Factory のリソースに関する考慮事項
<a name="account-factory-considerations"></a>

アカウントが Account Factory でプロビジョニングされると、アカウント内に次の AWS リソースが作成されます。


| AWS サービス | リソースタイプ | リソース名 | 
| --- | --- | --- | 
| AWS CloudFormation | スタック |  StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-\$1 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 StackSet-AWSControlTowerBP-BASELINE-CONFIG-\$1 StackSet-AWSControlTowerBP-BASELINE-ROLES-\$1 StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-\$1  | 
| AWS CloudTrail | 追跡 | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch イベントルール | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Logs | aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | ロール | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole  AWSControlTowerExecution | 
| AWS Identity and Access Management | ポリシー | AWSControlTowerServiceRolePolicy  | 
| Amazon Simple Notification Service | トピック | aws-controltower-SecurityNotifications | 
| AWS Lambda | アプリケーション | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 | 
| AWS Lambda | 関数 | aws-controltower-NotificationForwarder | 
| Amazon EventBridge | ルール | AWSControlTowerManagedRule | 
| Amazon EventBridge | ルール | aws-controltower-ConfigComplianceChangeEventRule |