翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ルート OU **マニフェスト V2 バージョン (2021-03-15)** では、CfCT は `organizational_units` の組織単位 (OU) の値としての**ルート**をサポートしています。 + `scp` または `rcp` のデプロイ方法を選択した場合、`organizational_units` でルートを追加すると、AWS Control Tower はルートの下にあるすべての OU にポリシーを適用します。`stack_set` のデプロイ方法を選択した場合、`organizational_units` でルートを追加すると、CfCT は、管理アカウントを除き、AWS Control Tower に登録されているルートの下にあるすべてのアカウントにスタックセットをデプロイします。 + AWS Control Tower のベストプラクティスに従って、管理アカウントはメンバーアカウントの管理と請求のみを目的としています。AWS Control Tower 管理アカウントで本番ワークロードを実行しないでください。 ベストプラクティスのガイダンスに従って、AWS Control Tower のデプロイでは、管理アカウントはルート OU の下に置かれています。これにより、フルアクセス権を付与しながら、管理アカウントが追加のリソースを実行しないようにします。この理由のため、**AWSControlTowerExecution** ロールは管理アカウントにデプロイされません。 + 管理アカウントについては、次のベストプラクティスに従うことをお勧めします。特定のユースケースで、管理アカウントにスタックセットをデプロイする必要がある場合は、**accounts** をデプロイターゲットとして含め、管理アカウントを指定します。それ以外の場合は、**accounts** をデプロイターゲットとして含めないでください。必要な IAM ロールなど、不足しているリソースを管理アカウントで作成する必要があります。 管理アカウントにスタックセットをデプロイするには、`accounts` をデプロイターゲットとして含め、管理アカウントを指定します。それ以外の場合は、accounts をデプロイターゲットとして含めないでください。 ``` --- region: your-home-region version: 2021-03-15 resources: …truncated… deployment_targets: organizational_units: - Root ``` **注記** ルート OU 機能は、V2 バージョンのマニフェストファイル (2021-03-15) でのみサポートされます。`organizational_units` の OU として **[Root]** (ルート) を追加する場合、他の OU は追加しないでください。