View a markdown version of this page

AWS Control Tower 内のアカウントのプロビジョニング - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower 内のアカウントのプロビジョニング

AWS Control Tower には、メンバーアカウントを作成および更新するための方法が複数用意されています。一部の方法は主にコンソールベースで、一部の方法は主に自動化されています。

概要:

AWS Control Tower のメンバーアカウントを作成する標準的な方法の 1 つは、Account Factory を使用することです。Account Factory は、Service Catalog に含まれるコンソールベースの製品です。ランディングゾーンがドリフト状態でない場合は、AWS Control Tower コンソールから、[アカウントを作成] をメソッドとして使用して新しいアカウントをプロビジョニングしたり、[アカウントの登録] を使用して既存の AWS アカウントを AWS Control Tower に登録したりできます。

Account Factory を使用すると、AWS Control Tower のデフォルト設定に基づいてベーシックアカウントをプロビジョニングできます。また、特殊なユースケースの要件を満たすカスタマイズされたアカウントをプロビジョニングすることもできます。

Account Factory Customization (AFC) は、カスタマイズされたアカウントを AWS Control Tower コンソールからプロビジョニングする手段を提供し、アカウントのカスタマイズとデプロイを自動化します。1 回限りのセットアップのためのいくつかのステップを実行すると、コンソールベースの自動プロビジョニングを使用できるようになり、スクリプトの作成やパイプラインの設定は不要となります。詳細については、「Account Factory Customization (AFC) を使用したアカウントのカスタマイズ」を参照してください。

自動登録

ランディングゾーン設定の自動アカウント登録機能にオプトインすると、継承ドリフトを作成せずに、AWS Control Tower AWS アカウント の外部で作成し、AWS Control Tower に登録されている OU に移動することもできます。詳細については、「自動登録でアカウントを移動して登録する」を参照してください。

コンソールベースの方法:
自動化された方法:

  • Lambda コード: AWS Control Tower ランディングゾーンの管理アカウントから、Lambda コードと適切な IAM ロールを使用します。「Automated Account Provisioning with IAM Roles」を参照してください。

  • Terraform: AWS Control Tower Account Factory for Terraform (AFT) から、Account Factory と GitOps モデルを利用して、アカウントのプロビジョニングと更新のオートメーションが可能です。「AWS Control Tower Account Factory for Terraform (AFT) によるアカウントのプロビジョニング」を参照してください。

  • 自動登録を通じ、API を使用して OU に既存のアカウントを移動します。「自動登録でアカウントを移動して登録する」を参照してください。

  • AWS Control Tower コンソールの Account Factory Customization: セットアップのステップの実行後は、カスタマイズされたアカウントの今後のプロビジョニングで、設定を追加したり、パイプラインを維持したりする必要はありません。アカウントは、ブループリントと呼ばれる AWS Service Catalog 製品によってプロビジョニングされます。ブループリントでは、 CloudFormation テンプレートまたは Terraform テンプレートを使用できます。

    注記

    CloudFormation ブループリントは、リソースを複数のリージョンにデプロイできます。Terraform ブループリントでは、1 つのリージョンにのみリソースをデプロイできます。デフォルトでは、それはホームリージョンです。