翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 既存のアカウントの登録について
AWS Control Tower ガバナンスは、AWS Control Tower によって既に管理されている組織単位 (OU) *に登録* AWS アカウント するときに、既存の個人に拡張できます。対象アカウント*は、AWS Control Tower OUs と同じ AWS Organizations 組織に属する未登録*の OU に存在します。
AWS Control Tower にアカウントを登録するには、さまざまな方法があります。**このページの情報は、すべての登録方法に適用されます。**
**注記**
ランディングゾーンの初期セットアップ時を除き AWS 、監査またはログアーカイブアカウントとして機能する既存のアカウントを登録することはできません。
## アカウント登録中の処理
登録プロセス中に、AWS Control Tower は以下のアクションを実行します。
+ アカウントのベースラインを作成します。これには、以下のスタックセットのデプロイが含まれます。
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
これらのスタックセットのテンプレートで既存のポリシーとの競合がないことを確認することをお勧めします。
+ AWS IAM アイデンティティセンター または を通じてアカウントを識別します AWS Organizations。
+ 指定した OU にアカウントを配置します。現在の OU に適用されているすべての SCP を適用して、セキュリティ体制の整合性を保ってください。
+ 選択した OU 全体に適用される SCP を使用して、必須のコントロールをアカウントに適用します。
+ アカウント内のすべてのリソースを記録するように有効に AWS Config して設定します。
+ AWS Control Tower の検出コントロールをアカウントに適用する AWS Config ルールを追加します。
**アカウントと組織レベルの CloudTrail 証跡**
ランディングゾーンバージョン 3.1 以降で、ランディングゾーン設定でオプションの AWS CloudTrail 統合を選択した場合:
OU 内のすべてのメンバーアカウントは、登録されているかどうかにかかわらず、OU の AWS CloudTrail 証跡によって管理されます。
AWS Control Tower にアカウントを登録すると、そのアカウントは新しい組織の AWS CloudTrail 追跡によって管理されます。CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。
AWS Organizations コンソールや APIs などを使用してアカウントを登録済みの OU に移動する場合は、アカウントの残りのアカウントレベルの証跡を削除できます。CloudTrail 証跡の既存のデプロイがある場合は、CloudTrail の料金が重複して発生します。
ランディングゾーンを更新して組織レベルの証跡をオプトアウトすることを選択した場合、またはランディングゾーンがバージョン 3.0 より古い場合、組織レベルの CloudTrail 証跡はアカウントには適用されません。
## VPC を使用して既存のアカウントを登録する
AWS Control Tower は、Account Factory で新しいアカウントをプロビジョニングするときに、既存のアカウントを登録するときとは異なる方法で VPC を処理します。
+ 新しいアカウントを作成すると、AWS Control Tower は自動的に AWS のデフォルト VPC を削除し、そのアカウントの新しい VPC を作成します。
+ 既存のアカウントを登録する場合、AWS Control Tower はそのアカウントの新しい VPC を作成しません。
+ 既存のアカウントを登録しても、AWS Control Tower はアカウントに関連付けられた既存の VPC または AWS デフォルト VPC を削除しません。
**ヒント**
Account Factory を設定して新規アカウントに対するデフォルトの動作を変更でき、AWS Control Tower の組織内のアカウントに対して VPC がデフォルトで設定されないようにできます。詳細については、「[AWS Control Tower で VPC なしのアカウントを作成する](configure-without-vpc.md#create-without-vpc)」を参照してください。
## AWS Config リソースでアカウントを登録する
登録するアカウントには、既存の AWS Config リソースがあってはなりません。[「既存の AWS Config リソースがあるアカウントの登録](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)」を参照してください。
以下は AWS Config 、設定レコーダーや配信チャネルなど、既存のアカウント AWS Config リソースのステータスを判断するために使用できる CLI コマンドの例です。
**表示コマンド:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
通常の応答は `"name": "default"` のようになります。
**削除コマンド:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
# 登録の前提条件
*このセクションでは、ランディングゾーン**設定**ページでオプションの自動登録機能を選択していない場合、または 3.1 より前のランディングゾーンバージョンで動作している場合に、既存の AWS アカウントを AWS Control Tower に登録する方法について説明します。*
AWS Control Tower AWS アカウント に既存の を登録する前に、次の前提条件が必要です。
**注記**
ランディングゾーンの **[設定]** ページで AWS Control Tower 自動登録機能をアクティブ化した場合、または**登録 OU** プロセスの一部としてアカウントを登録する場合は、`AWSControlTowerExecution` ロールを追加する前提条件は必要ありません。ただし、いずれの場合も、登録するアカウントには既存の AWS Config リソースがない可能性があります。[「既存の AWS Config リソースがあるアカウントの登録](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)」を参照してください。
1. 既存の を登録するには AWS アカウント、`AWSControlTowerExecution`ロールが登録するアカウントに存在する必要があります。詳細と手順については、「[アカウントを登録する](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html)」で参照できます。
1. `AWSControlTowerExecution` ロールに加えて、登録する既存の AWS アカウント には、以下のアクセス許可と信頼関係が必要です。それ以外の場合、登録は失敗します。
ロールのアクセス許可: `AdministratorAccess` (AWS 管理ポリシー)
**ロールの信頼関係:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. アカウントには AWS Config 設定レコーダーまたは配信チャネルを持たないことをお勧めします。アカウントを登録する前に、 AWS CLI を使用してこれらを削除または変更できます。それ以外の場合は、[既存の AWS Config リソースを変更する方法については、既存のリソースがあるアカウントの登録](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)を参照してください。
1. 登録するアカウントは、AWS Control Tower 管理アカウントと同じ AWS Organizations 組織に存在する必要があります。既存のアカウントは、AWS Control Tower 管理アカウントと同じ組織にのみ、AWS Control Tower に既に登録されている OU で登録できます。**
登録に関するその他の前提条件を確認するには、「[AWS Control Tower の開始方法](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html)」を参照してください。
**注記**
AWS Control Tower にアカウントを登録すると、そのアカウントは AWS Control Tower 組織の AWS CloudTrail 追跡によって管理されます。CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。
**`AWSControTowerExecution` ロールでの信頼されるアクセスについて**
既存の AWS アカウント を AWS Control Tower に登録する前に、AWS Control Tower がアカウントを管理または*管理する*アクセス許可を付与する必要があります。具体的に CloudFormation は、AWS Control Tower には、 が選択した組織のアカウントにスタックを自動的にデプロイできるように、 AWS Organizations ユーザーに代わって AWS CloudFormation と の間に信頼されたアクセスを確立するためのアクセス許可が必要です。この信頼されたアクセスでは、`AWSControlTowerExecution` ロールは、各アカウントを管理するために必要なアクティビティを実行します。そのため、登録する前にこのロールを各アカウントに追加する必要があります。
信頼されたアクセスが有効になっている場合、 は 1 回のオペレーション AWS リージョン で複数のアカウントおよび のスタックを作成、更新、または削除 CloudFormation できます。AWS Control Tower はこの信頼機能を使用して既存のアカウントにロールとアクセス許可を適用します。その後、それらを登録済み組織単位に移動して、管理下に置くことができます。
信頼されたアクセスと の詳細については AWS CloudFormation StackSets、「」および[AWS CloudFormationStackSetsAWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html)「」を参照してください。
# 自動登録でアカウントを移動して登録する
アカウントの自動登録機能は、バージョン 3.1 以降のランディングゾーンで利用可能です。
オプションでこの機能を有効にする場合は、 AWS Organizations APIs とコンソールを使用して、[https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)を作成せずにアカウントを AWS Control Tower に移動できます。アカウントは、AWS Control Tower の送信先の組織単位 (OU) からベースラインリソースとコントロール設定を自動的に受け取ります。このオプション機能を使用すると、2 つの OU が同じベースライン設定を持ち、同じコントロールが有効になっている場合、継承ドリフトを作成せずに、AWS Control Tower 内の OU 間でアカウントを移動することもできます。
**自動登録を有効にするには:** AWS Control Tower コンソールのランディングゾーンの **[設定]** ページでアカウントの自動登録を選択するか、`RemediationType` パラメータの値を**継承ドリフト**に設定して AWS Control Tower `CreateLandingZone` または `UpdateLandingZone` API を呼び出します。
**自動登録を適用するには:** **設定**ページでこのオプションを選択したら、 AWS Organizations コンソール、 API、 AWS Organizations `MoveAccount`または AWS Control Tower コンソールを使用してアカウントを移動できます。
**自動登録を使用してアカウントの登録を解除するには:** 登録されている OU の外部にアカウントを移動すると、AWS Control Tower はデプロイされたすべてのベースラインとコントロールを自動的に削除します。
**注記**
AWS Control Tower のソースと送信元 OU の設定が異なる場合、アカウントで [移動されたメンバーアカウント](governance-drift.md#drift-account-moved) ドリフトが表示されることがあります。
## 前提条件: 自動登録用に設定する
+ AWS Control Tower ランディングゾーンバージョン 3.1 以降を実行している必要があります。
+ コンソールのランディングゾーンの **[設定]** ページ、または `RemediationTypes` パラメータの値を `Inheritance Drift` に設定して AWS Control Tower ランディングゾーン API を使用して、AWS Control Tower 自動登録機能にオプトインします。オプトインすると、AWS Control Tower はユーザーに代わって の`move account`イベントに対応し AWS Organizations、移動したアカウントの継承ドリフトを直ちに修正します。
## 必要なアクセス許可
`CreateAccount` API と `MoveAccount` API を使用するには AWS Organizations 、特定のロールとアクセス許可が必要です。AWS Control Tower AWS Organizations で を使用する方法の詳細については、[「AWS Control Tower と AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/services-that-can-integrate-CTower.html)」を参照してください。
## API の使用状況に関する例
これらの API に関する詳細と例については、「*AWS Organizations API リファレンス*」の「[https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html)」と「[https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html)」を参照してください。
## 考慮事項
+ **登録タイムライン:** AWS Control Tower に登録されている OU に移動したアカウントは、*結果整合性*モデルで登録されます。このプロセスは通常、移動するアカウントの数に応じて数分、最大数時間かかります。
+ **登録解除プロセス:** AWS Control Tower の外部の OU に移動することで、同じプロセスを使用して AWS Control Tower からアカウントの登録を解除できます。このプロセスでは、AWS Control Tower によってデプロイされたロールとリソース、および AWS Control Tower で有効になっているコントロールがすべて削除されます。
# AWS Control Tower コンソールから既存のアカウントを登録する
個人を AWS Control Tower に登録 AWS アカウント するには、2 つの一般的な方法があります。
1. **設定**ページで*自動登録*機能を選択したら、AWS Control Tower の AWS アカウント 外部で を作成し、登録済みの OU に直接移動できます。詳細については、「[自動的にアカウントを移動し、登録する](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html)」を参照してください。このオプションは、ランディングゾーンバージョン 3.1 以降でのみ有効です。
1. AWS Control Tower コンソールから既存のアカウントを手動で登録できます。
**以下のセクションでは、2 つ目のオプションについて説明します。**これは、AWS Control Tower 環境の以前の設定を必要としません。は、必要な[前提条件](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html)を満たす AWS アカウント 必要があります。
**コンソールで対象となるアカウントを表示します。**
1. AWS Control Tower の **[Organization]** (組織) ページに移動します。
1. 登録するアカウントの名前を見つけます。見つけるには、アカウント名は、右上にあるドロップダウンメニューから **[Accounts only]** (アカウントのみ) を選択し、フィルターされたテーブルで探してください。
次に、[アカウントを手動で登録する手順](#enrollment-steps) セクションで示されているように、個々のアカウントを登録する手順に従います。
## コンソールからの登録に関する考慮事項
+ AWS Control Tower コンソールで使用できる**アカウント登録**機能は、AWS Control Tower によって管理 AWS アカウント されるように既存の を登録することを目的としています。詳細については、「[既存の AWS アカウントの登録](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html)」を参照してください。
+ コンソールベースの **[アカウントの登録]** 機能は、ランディングゾーンが[ドリフト](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html)状態でないときに使用できます。ランディングゾーンがドリフト状態にある場合は、**[Enroll account]** (アカウントの登録) 機能を正常に使用できないことがあります。ランディングゾーンのドリフトが解決されるまで、Account Factory または他の方法を使用して新しいアカウントをプロビジョニングする必要があります。
+ AWS Control Tower コンソールからアカウントを登録する場合は、AWS Control Tower コンソールを使用する**管理者**権限と共に、`AWSServiceCatalogEndUserFullAccess` ポリシーが有効になっているユーザーでアカウントにサインインする必要があり、ルートユーザーとしてサインインすることはできません。
+ 登録するアカウントは、他のアカウントを更新する場合と同様に、 および AWS Control Tower Account Factory を使用して更新できます。更新手順については、「[AWS Control Tower でアカウントを更新して移動する](updating-account-factory-accounts.md)」セクションを参照してください。
**注記**
既存の E メールアドレスを登録するときは AWS アカウント、必ず既存の E メールアドレスを確認してください。それ以外の場合は、新しいアカウントが作成されます。
## アカウントを手動で登録する手順
既存の AWS アカウント アカウントで **AdministratorAccess** アクセス許可 (ポリシー) を設定したら、次のステップに従ってアカウントを登録します。
**コンソールから AWS Control Tower に個別のアカウントを登録するには**
+ AWS Control Tower の **[Organization]** (組織) ページに移動します。
+ **[Organization]** (組織) ページで、登録できるアカウントでは、セクション上部の **[Actions]** ドロップダウンメニューから **[Enroll]** を選択できます。これらのアカウントには、**[Account details]** (アカウントの詳細) ページでも **[Enroll account]** (アカウントの登録) ボタンが表示されます。
+ **[Enroll account]** (アカウントの登録) を選択した場合、**[Enroll account]** (アカウントの登録) ページが表示され、`AWSControlTowerExecution` ロールをアカウントに追加するよう促されます。手順については、「[必要な IAM ロールを既存の に手動で追加 AWS アカウント して登録する](enroll-manually.md)」を参照してください。
+ 次に、ドロップダウンの一覧から登録された OU を選択します。アカウントが既に登録済みの OU にある場合、このリストには OU が表示されます。
+ [**[Enroll account(アカウントの登録)**] を選択します。
+ `AWSControlTowerExecution` ロールを追加するためのモーダルリマインダーが表示されるので、アクションを確認します。
+ **[Enroll]** (登録する) を選択します。
+ AWS Control Tower は登録プロセスを開始し、**[Account details]** (アカウントの詳細) ページに戻ります。
## 登録の失敗の一般的な原因
+ 既存のアカウントを登録するには、登録するアカウントに `AWSControlTowerExecution` ロールが存在する必要があります。
+ IAM プリンシパルに、アカウントをプロビジョニングするアクセス許可がない可能性があります。
+ AWS Security Token Service (AWS STS) は、ホームリージョンの AWS アカウント 、または AWS Control Tower でサポートされている任意のリージョンで無効になっています。
+ AWS Service Catalogの Account Factory ポートフォリオに追加する必要があるアカウントにサインインしている場合があります。アカウントを AWS Control Tower で作成または登録できるように、Account Factory にアクセスする前に、アカウントを追加する必要があります。適切なユーザーまたはロールが Account Factory ポートフォリオに追加されていない場合、アカウントを追加しようとするとエラーが発生します。 AWS Service Catalog ポートフォリオへのアクセスを許可する方法については、[「 ユーザーへのアクセスを許可する](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)」を参照してください。
+ root としてサインインしている可能性があります。
+ 登録しようとしているアカウントには、残っている AWS Config 設定がある可能性があります。特に、アカウントに設定レコーダーや配信チャネルを持たないようにできます。これらは、アカウントを登録する AWS CLI 前に、 を通じて削除または変更する必要があります。詳細については、「[既存の AWS Config リソースがあるアカウントを登録する](existing-config-resources.md)」および「[AWS Control Towerを通じて を操作するAWS CloudShell](cshell-examples.md)」を参照してください。
+ アカウントが別の AWS Control Tower OU を含む管理アカウントを持つ別の OU に属している場合、別の OU に参加する前に、現在の OU のアカウントを終了する必要があります。元の OU で既存のリソースを削除する必要があります。それ以外の場合、登録は失敗します。
+ 目的の OU の SCP で、そのアカウントに必要なすべてのリソースの作成が許可されていない場合、アカウントのプロビジョニングと登録は失敗します。例えば、目的の OU 内の SCP は、特定のタグのないリソースの作成をブロックする場合があります。この場合、AWS Control Tower はリソースのタグ付けをサポートしていないため、アカウントのプロビジョニングまたは登録は失敗します。サポートについては、アカウント担当者または サポートにお問い合わせください。
新しいアカウントを作成するとき、または既存のアカウントを登録するときに、AWS Control Tower でロールをどのように使用するかの詳細については、「[Roles and accounts](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html)」を参照してください。
**ヒント**
既存の が登録の前提条件 AWS アカウント を満たしていることを確認することができない場合は、**登録 OU** を設定し、その OU にアカウントを登録できます。登録が成功したら、アカウントを目的の OU に移動できます。登録に失敗しても、他のアカウントや OU は障害の影響を受けません。
既存のアカウントとその設定が AWS Control Tower に対応しているかどうか疑問がある場合は、次のセクションで推奨されるベストプラクティスに従うことができます。
**推奨: アカウントの登録に 2 段階のアプローチを設定する**
+ まず、コン AWS Config *フォーマンスパック*を使用して、アカウントがいくつかの AWS Control Tower コントロールによってどのように影響を受けるかを評価します。AWS Control Tower への登録がアカウントにどのように影響するかを確認するには、「コン[フォーマンスパックを使用した AWS Control Tower AWS Config ガバナンスの拡張](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/)」を参照してください。
+ 次に、アカウントを登録できます。コンプライアンスの結果が満足のいくものであれば、予期しない結果を招くことなくアカウントを登録できるため、移行パスが簡単になります。
+ 評価が完了したら、AWS Control Tower ランディングゾーンを設定する場合は、評価用に作成された AWS Config 配信チャネルと設定レコーダーを削除する必要がある場合があります。そうすれば、AWS Control Tower を正常にセットアップできるようになります。
**注記**
コンフォーマンスパックは、AWS Control Tower によって登録された OUs にアカウントがあるが、ワークロードは AWS Control Tower がサポートしていない AWS リージョン内で実行される状況でも機能します。適合パックを使用して、AWS Control Tower がデプロイされていないリージョンに存在するアカウントのリソースを管理できます。
# アカウントが前提条件を満たしていない場合
前提条件として、AWS Control Tower ガバナンスに登録できるアカウントは、同じ組織全体に属している必要があります。アカウント登録の前提条件を満たすには、以下の準備のステップに従って、AWS Control Tower と同じ組織にアカウントを移動できます。
**AWS Control Tower と同じ組織にアカウントを移動するための準備のステップ**
1. 既存の組織からアカウントを削除します このアプローチを使用する場合は、別の支払い方法を指定する必要があります。
1. アカウントを AWS Control Tower の組織に参加するように招待します。詳細については、[「 ユーザーガイド」の「組織に参加する AWS アカウントを招待する](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_invites.html)」を参照してください。 *AWS Organizations *
1. 招待を受け入れます アカウントは組織のルートに表示されます。このステップでは、アカウントを AWS Control Tower と同じ組織に移動し、SCP および一括請求を確立します。
**ヒント**
アカウントが古い組織から削除される前に、新しい組織への招待を送信できます。招待は、アカウントが既存の組織から正式に削除されるのを待機します。
**残りの前提条件を満たすステップ:**
1. 必要な `AWSControlTowerExecution` ロールを作成します。
1. デフォルト VPC をクリアします (これはオプションです。AWS Control Tower は既存のデフォルト VPC を変更しません)。
1. または を使用して、既存の AWS Config 設定レコーダーまたは配信チャネルを削除 AWS CLI または変更します AWS CloudShell。詳細については、「[AWS Config リソースでアカウントを登録する](enroll-account.md#example-config-cli-commands)」および「[既存の AWS Config リソースがあるアカウントを登録する](existing-config-resources.md)」を参照してください。
これらの準備手順が完了したら、AWS Control Tower にアカウントを登録できます。詳細については、「[アカウントを手動で登録する手順](quick-account-provisioning.md#enrollment-steps)」を参照してください。このステップにより、アカウントが AWS Control Tower の完全な管理下に入ります。
**アカウントのプロビジョニングを解除して、アカウントを登録しスタックを維持できるようにするための任意のステップ**
1. 適用された CloudFormation スタックを保持するには、スタックセットからスタックインスタンスを削除し、インスタンス**のスタックを保持**を選択します。
1. AWS Service Catalog Account Factory でアカウントプロビジョニング済み製品を削除します。(このステップでは、プロビジョニングされた製品が AWS Control Tower から削除されるだけです。アカウントは削除されません。)
1. 必要に応じて、組織に属していないアカウントに必要な請求の詳細を使用してアカウントを設定します。次に、組織からアカウントを削除します (これを行うと、アカウントは AWS Organizations クォータの合計に対してカウントされません)。
1. リソースが残っている場合はアカウントをクリーンアップし、「[アカウントを登録解除する](unmanage-account.md)」のアカウント閉鎖のステップに従って、アカウントを閉鎖します。
1. コントロールが定義された **[Suspended]** (停止状態) の OU がある場合、ステップ 1 を実行する代わりに、その OU にアカウントを移動できます。
# 必要な IAM ロールを既存の に手動で追加 AWS アカウント して登録する
AWS Control Tower のランディングゾーンを既に設定している場合は、AWS Control Tower に登録されている OU に組織のアカウントを登録できます。ランディングゾーンをまだ設定していない場合は、「*AWS Control Tower ユーザーガイド*」の[「はじめに」のステップ 2](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two) に記載されているステップに従います。ランディングゾーンの準備ができたら、次のステップを実行して、手動で既存のアカウントを AWS Control Tower による管理下に入れます。
**この章で前述した [登録の前提条件](enrollment-prerequisites.md) を必ず確認してください。**
AWS Control Tower にアカウントを登録する前に、そのアカウントを管理するアクセス許可を AWS Control Tower に付与する必要があります。これを行うには、次のステップに示すように、アカウントへのフルアクセス権を持つロールを追加します。これらのステップは、登録するアカウントごとに実行する必要があります。
**アカウントごとに次の手順を実行します。**
**ステップ 1: 登録するアカウントが現在含まれている組織の管理アカウントに、管理者アクセス権を使ってサインインします。**
例えば、このアカウントを から作成 AWS Organizations し、クロスアカウント IAM ロールを使用してサインインする場合、次の手順を実行できます。
1. 組織の管理アカウントにサインインします。
1. **AWS Organizations** に移動します。
1. **[Accounts]** (アカウント) で、登録するアカウントを選択し、アカウント ID をコピーします。
1. 上部のナビゲーションバーのアカウントドロップダウンメニューを開き、**[Switch Role]** (ロールの切り替え) を選択します。
1. **[Switch Role]** (ロールの切り替え) フォームで、次のフィールドに入力します。
+ **[Account]** (アカウント) に、コピーしたアカウント ID を入力します。
+ **[Role]** (ロール) に、このアカウントへのクロスアカウントアクセスを有効にする IAM ロールの名前を入力します。このロールの名前は、アカウントの作成時に定義されています。アカウントの作成時にロール名を指定していない場合は、デフォルトのロール名、`OrganizationAccountAccessRole` を入力します。
1. [**Switch Role**] (ロールの切り替え) を選択します。
1. これで、子アカウント AWS マネジメントコンソール として にサインインします。
1. 完了したら、次の手順を実行するために子アカウントにとどまります。
1. 管理アカウント ID は次のステップで入力する必要があるため、メモしておきます。
**ステップ 2: AWS Control Tower にアカウントを管理する許可を付与します。**
1. **[IAM]** に移動します。
1. **[Roles]** (ロール) に移動します。
1. [**ロールの作成**] を選択してください。
1. ロールの対象となるサービスの選択を求められたら、**[カスタム信頼ポリシー]** を選択します。
1. ここに示すコード例をコピーして、ポリシードキュメントに貼り付けます。文字列 *`Management Account ID`* を、管理アカウントの実際の管理アカウント ID に置き換えます。貼り付けるポリシーは次のとおりです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. ポリシーをアタッチするよう求められたら、**[AdministratorAccess]** を選択します。
1. **[Next:Tags]** (次へ: タグ) を選択します。
1. **[Add tags]** (タグを追加する) というタイトルのオプションの画面が表示されることがあります。**[Next:Review]** (次へ: レビュー) を選択して、この画面をスキップします。
1. **[Review]** (確認) 画面の **[Role name]** (ロール名) フィールドに、`AWSControlTowerExecution` と入力します。
1. **[Description]** (説明) ボックスに、登録のためのフルアカウントアクセスを許可などの短い説明を入力します。**
1. [**ロールの作成**] を選択してください。
**ステップ 3: 登録された OU に移動してアカウントを登録し、登録を確認します。**
ロールを作成して必要なアクセス許可を設定したら、次のステップに従ってアカウントを登録し、登録を確認します。
1. **管理者として再度サインインし、AWS Control Tower に移動します。**
1.
**アカウントを登録します。**
+ AWS Control Tower の **[Organization]** (組織) ページでアカウントを選択し、右上にある **[Actions]** (アクション) ドロップダウンメニューから **[Enroll]** (登録) を選択します。
+ [アカウントを手動で登録する手順](quick-account-provisioning.md#enrollment-steps) ページで示されているように、個々のアカウントを登録する手順に従います。
1.
**登録を確認します。**
+ AWS Control Tower から、左側のナビゲーションの **[Organization]** (組織) を選択します。
+ 最近登録したアカウントを探します。初期状態では、**[Enrolling]** (登録中) のステータスが表示されます。
+ 状態が **[Enrolled]** (登録済み) に変わったら、移動は成功です。
このプロセスを続行するには、AWS Control Tower に登録する組織内の各アカウントにサインインします。各アカウントについて、前提条件のステップと登録のステップを繰り返します。
**`AWSControlTowerExecution` ロールを追加する例**
次の YAML テンプレートを使用すると、アカウントに必要なロールを作成してプログラム的に登録できます。
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```