翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Control Tower および AWS Organizations
<a name="services-that-can-integrate-CTower"></a>

AWS Control Tower は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境をセットアップして管理するための簡単な方法を提供します。 AWS Control Tower オーケストレーションは、 の機能を拡張 AWS Organizationsします。 は、組織とアカウントがベストプラクティス (ドリフト) から逸脱しないように予防コントロールと検出コントロール (ガードレール) AWS Control Tower を適用します。

AWS Control Tower オーケストレーションは の機能を拡張します AWS Organizations。

詳細については、 [https://docs.aws.amazon.com/controltower/latest/userguide/](https://docs.aws.amazon.com/controltower/latest/userguide/)を参照してください。

次の情報は、 AWS Control Tower との統合に役立ちます AWS Organizations。



## 統合に必要な役割
<a name="integrate-enable-roles-CTower"></a>

`AWSControlTowerExecution` ロールは、登録されたすべてのアカウントに存在する必要があります。これにより AWS Control Tower 、 は個々のアカウントを管理し、それらの情報を監査アカウントとログアーカイブアカウントにレポートできます。

で使用されるロールの詳細については AWS Control Tower、[「 AWS Control Tower がロールと連携してアカウントを作成および管理する方法](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how)」および[「アイデンティティベースのポリシー (IAM ポリシー) の使用 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/access-control-managing-permissions.html)」を参照してください。

## で使用されるサービスプリンシパル AWS Control Tower
<a name="integrate-enable-svcprin-CTower"></a>

AWS Control Tower は`controltower.amazonaws.com`サービスプリンシパルを使用します。

## での信頼されたアクセスの有効化 AWS Control Tower
<a name="integrate-enable-ta-CTower"></a>

AWS Control Tower は信頼されたアクセスを使用して、予防コントロールのドリフトを検出し、ドリフトの原因となるアカウントと OU の変更を追跡します。

信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。

Organizations ツールを使用してのみ、信頼されたアクセスのみを有効にできます。

Organizations コンソールから信頼されたアクセスを有効にするには、**AWS Control Tower** の隣の **Enable access** を選択します。

信頼されたアクセスを有効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには**  
信頼されたサービスアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  次のコマンドを実行して、Organizations の信頼されたサービス AWS Control Tower として を有効にします。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## での信頼されたアクセスの無効化 AWS Control Tower
<a name="integrate-disable-ta-CTower"></a>

信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。

信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。

**重要**  
信頼されたアクセスを無効にする AWS Control Towerと、 AWS Control Tower ランディングゾーンにドリフトが発生します。ドリフトを修正する唯一の方法は、 AWS Control Towerのランディングゾーンの修理を利用することです。Organizations での信頼できるアクセスを再度有効にしても、ドリフトは解決しません。[ドリフトの詳細については](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)、*AWS Control Tower ユーザーガイド*を参照してください。

信頼されたアクセスを無効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**  
信頼されたサービスアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  次のコマンドを実行して、Organizations で信頼されたサービス AWS Control Tower として を無効にします。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------