View a markdown version of this page

アカウントを別の組織に転送する - AWS Control Tower
前提条件ステップ 1: AWS Control Tower からアカウントを登録解除するステップ 2: アカウントを送信先組織に転送するステップ 3: アカウントを送信先組織に登録するその他の考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウントを別の組織に転送する

AWS Control Tower に登録されているメンバーアカウントを別の AWS Organizations 組織に移管できます。

前提条件

  • アカウントは、ソース組織の AWS Control Tower に登録する必要があります。つまり、アカウントにはベースライン、プロアクティブコントロール、または検出コントロールが適用されます。

  • アカウントは、移管の少なくとも 4 日前に作成されている必要があります。

  • 送信元組織と送信先組織の両方の管理アカウントにアクセスできる必要があります。

ステップ 1: AWS Control Tower からアカウントを登録解除する

アカウントを移管する前に、アカウントに直接適用されるすべての AWS Control Tower リソースを無効にする必要があります。アカウントは予防コントロールを継承し続けることができます。

自動登録を使用する場合

アカウントを次のいずれかの場所に移動します。

  • 組織のルート

  • アンマネージド OU

  • ランディングゾーン 4.0 以降では、予防コントロールのみが有効になっている OU

自動登録を使用しない場合

自動登録を使用する場合も、以下のメソッドを使用できます。

  • AWS Control Tower および Backup ベースラインを持つアカウントの場合、AWS Control Tower コンソールから管理解除を選択します。 AWS Service Catalog APIs またはコンソールを使用して、プロビジョニング済み製品を終了することもできます。

  • AWS Config ベースラインを持つアカウントの場合、OU で AWS Config ベースラインを無効にするか、アカウントを root に移動して DisableBaseline API を使用します。

ステップ 2: アカウントを送信先組織に転送する

予防コントロール以外のアカウントに適用されたすべての AWS Control Tower ベースラインとコントロールが無効になったら、移管を完了します。

  1. 送信先組織の管理アカウントから、メンバーアカウントに招待を送信します。

  2. メンバーアカウントからの招待を受け入れます。

  3. 送信先組織の管理アカウントから、アカウントを目的の OU に移動します。

移行プロセスの手順については、「 AWS Organizations ユーザーガイド」の AWS 「アカウントを別の組織に移行する」を参照してください。

ステップ 3: アカウントを送信先組織に登録する

アカウントが送信先組織に入ったら、AWS Control Tower に登録します。

  • 送信先組織を管理する AWS Control Tower ランディングゾーンで自動登録が有効になっている場合、AWS Control Tower は自動的にベースラインとコントロールをアカウントに適用します。

  • 送信先組織で自動登録を使用しない場合は、AWS Control Tower にアカウントを手動で登録します。詳細については、「既存のアカウントの登録について」を参照してください。

その他の考慮事項

待機期間

AWS Organizations または Account Factory を使用して作成されたアカウントは、組織から移管または削除する前に、4 日以上経過している必要があります。詳細については、「 AWS Organizations ユーザーガイド」の「組織からメンバーアカウントを削除する」を参照してください。

AWS 設定アグリゲータの制限

複数のアカウントを移管する場合、すべてのアグリゲータ (1,000) AWS に対して 1 週間に追加または削除されるアカウントの最大数の設定制限に達する可能性があります。制限の引き上げをリクエストするには、AWS 「Config サービスの制限」を参照してください。サービスにリンクされた Config アグリゲータを使用するランディングゾーンバージョン 4.0 にアップグレードすることもできます。詳細については、AWS 「ランディングゾーンバージョン 4.0 の設定の更新」を参照してください。

メンバーアカウントアクセス

未登録のアカウントには AWSControlTowerExecutionロールがありません。Config または AWS Control Tower ベースラインを無効にすると、AWS Control Tower はその実行ロールを削除し、 を追加しますOrganizationsAccountAccessRole。このロールを使用して、送信先組織の招待を受け入れることができます。

アカウントが送信先組織に登録されると、AWSControlTowerExecutionロールが作成されます。このロールは を置き換えOrganizationsAccountAccessRole、新しい管理アカウントを信頼します。

AWS Service Catalog と自動登録

自動登録は、 AWS Service Catalog のリソースでは動作しません。Account Factory でプロビジョニングされた製品は、基盤となるアカウントが登録されていなくても管理アカウントに残ります。管理アカウントでこれらのプロビジョニング済み製品を終了するには、AWS 「Service Catalog ユーザーガイド」の「プロビジョニング済み製品の削除」を参照してください。Account Factory Customization (AFC) の設計図はアカウント内に残ります。