翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower でのアカウントのプロビジョニングと管理
この章では以下について説明します。
AWS Control Tower で新しいメンバーアカウントをプロビジョニングおよび管理するための概要と手順。
既存の AWS アカウントを AWS Control Tower に登録するための概要と手順。
AWS Control Tower のアカウントの一般情報については、「AWS Control Tower AWS アカウント の について」を参照してください。AWS Control Tower で複数のアカウントを登録する方法については、「AWS Control Tower への既存の組織単位の登録」を参照してください。
注記
単一アカウントのプロビジョニング、更新、カスタマイズは、AWSControlTowerBaseline を有効にした組織単位 (OU) をターゲットにする必要があります。OU で AWSControlTowerBaseline が有効になっていない場合は、アカウントの自動登録を有効にするか、EnabledBaseline で ResetEnabledBaseline API と ResetEnabledControl APIs を使用してアカウント EnabledControls を登録できます。 EnabledBaselines AWSControlTowerBaseline の詳細については、「」を参照してくださいOU レベルで適用されるベースラインタイプ。
注記
プロビジョニング、更新、登録など、最大 5 つのアカウント関連のオペレーションを同時に実行できます。
アカウントのプロビジョニングに必要なアクセス許可
適切なユーザーグループの許可があれば、組織内のすべてのアカウントに対して標準化されたベースラインとネットワーク設定を指定できます。
Account Factory を使用して AWS Control Tower コンソールからアカウントを作成する場合は、AWS Control Tower コンソールを使用するアクセス許可と共に、AWSServiceCatalogEndUserFullAccess ポリシーが有効になっている IAM ユーザーとしてアカウントにサインインする必要があります。ルートユーザーとしてサインインすることはできません。
注記
アカウントをプロビジョニングする場合、アカウントのリクエスタには必ず CreateAccount および DescribeCreateAccountStatus アクセス許可が必要です。このアクセス許可セットは Admin ロールの一部であり、リクエスタが Admin ロールを引き受けると自動的に付与されます。アカウントをプロビジョニングするアクセス許可を委任する場合、これらのアクセス許可をアカウントリクエスタに直接追加する必要がある場合があります。
AWS Control Tower で必要な許可の全般的な情報については、「AWS Control Tower でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。AWS Control Tower のロールとアカウントについては、「Roles and accounts」を参照してください。
