翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Control Tower AWS ランディングゾーン組織にデプロイする
<a name="deploy"></a>

このシナリオでは、現在 AWS Landing Zone ソリューションを実行している AWS Control Tower 組織にデプロイ AWS Organizations する手順について詳しく説明します。

1. 現在のサービスクォータを超えることなく、2 つの新しいアカウントを作成できることを確認してください。必要に応じて、[サービスクォータの引き上げをリクエスト](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)します。 AWS ランディングゾーンに使用したランディングゾーンの[既存のアカウントを使用している場合を除き、新しいアカウント](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-control-tower-now-use-customer-provided-core-accounts/)はデプロイの一部として AWS Control Tower デプロイされます。

1. 現在 を使用している場合は AWS IAM アイデンティティセンター、IAM Identity Center が設定されているのと同じ AWS リージョン AWS Control Tower に をデプロイします。

1.  AWS Organizations コンソールで、 AWS Config および AWS CloudTrail サービスがアクティブ化されている場合は**、信頼されたアクセスを無効にする**を選択します。詳細については、[AWS のドキュメント](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)を参照してください。

1. デプロイします AWS Control Tower。詳細については、[AWS のドキュメント](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#getting-started-configure)を参照してください。

既存の組織で AWS Control Tower ランディングゾーンを設定するときに予想されることは次のとおりです。
+ 各 AWS Organizations 組織に 1 つのランディングゾーンを設定できます。
+ AWS Control Tower は、既存の AWS Organizations 組織の管理アカウントを管理アカウントとして使用します。新しい管理アカウントは不要です。
+ AWS Control Tower は、登録されたセキュリティ OU に監査アカウントとログアーカイブアカウントの 2 つの新しいアカウントを設定します。ただし、セットアップ中に既存のアカウントを使用している場合は除きます。既存のアカウントを使用している場合、 AWS Control Tower は AWS Control Tower デプロイ中に作成した OU の下に監査アカウントとログアーカイブアカウントを移動します。
+ 組織のサービスクォータは、これら 2 つの追加アカウントの作成に十分である必要があります。
+ 起動後、 AWS Control Tower ガードレールはその OU のアカウントに自動的に適用されます。
+ によって管理される OU に追加の既存の AWS アカウントを登録して AWS Control Tower、それらのアカウントにガードレールを適用できます。

設定 AWS Control Tower 後に既存の AWS アカウントまたは OUsを に登録する場合は、ガイドの[「既存の組織で を使用して AWS Control Tower 既存の AWS アカウントを登録する](#enroll-to-existing)」セクションを参照してください。

## 既存の組織 AWS Control Tower で既存の AWS アカウントを に登録する
<a name="enroll-to-existing"></a>

すでに管理されている組織単位 (OU) ** に登録するときに、ガバナンス AWS Control Tower を個々の既存の AWS アカウントに拡張できます AWS Control Tower。対象アカウントは*OUs と同じ組織の一部である未登録*の OU AWS Control Tower に存在します。 AWS Organizations 

 AWS Control Tower コンソール AWS Control Tower から OU を に登録できます。OU を登録すると、 AWS Control Tower は OU のすべてのアカウントを登録します AWS Control Tower。

個々のアカウントを登録するのではなく、OU を登録することをお勧めします。このアプローチの利点は、OU ID が変更されないことです。OU ID を使用するポリシーまたはルールがある場合は、変更を加える必要はありません。

 AWS アカウントを に登録する前に AWS Control Tower、 という名前の AWS CloudFormation スタックセットからスタックインスタンスを削除します`AWS-Landing-Zone-Baseline-EnableConfig`。登録する各アカウントで、 AWS Control Tower がデプロイされているすべての AWS リージョンで、`AWS-Landing-Zone-Baseline-EnableConfig`スタックインスタンスを削除する必要があります。完全なスタックセットの削除には時間がかかるため、登録するアカウントに対してのみスタックインスタンスを削除することをお勧めします。理想的には、特定のアカウントのスタックインスタンスを削除すると、 AWS Config レコーダーと配信チャネルが削除されます。削除を確認するには、そのアカウントで次のコマンドを実行します。

```
      aws configservice describe-configuration-recorders --region <region_name>     
      aws configservice describe-delivery-channels --region <region_name>
```

### AWS Control Tower コンソールから OU AWS Control Tower 登録機能を使用する
<a name="register-ou"></a>

既存の AWS アカウントを持つ OU 全体を登録する前に、必ず以下を実行してください。
+ 前述のように、その OU のすべてのアカウントのすべてのリージョンから AWS Config レコーダーと配信チャネルを削除します。

詳細については、[「既存の組織単位の登録 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/importing-existing.html)」を参照してください。

アカウントが登録されると AWS Control Tower、登録したアカウントの別のプロビジョニング済み製品が Service Catalog に表示されます。プロビジョニング済み製品の名前には **Enroll- **というプレフィックスが付けられます。つまり、Service Catalog に 1 つのアカウント用に 2 つのプロビジョニング済み製品が追加されました。
+  AWS ランディングゾーンアカウント自動販売機からプロビジョニングされた 1 つの製品
+ への登録から 1 つのプロビジョニング済み製品 AWS Control Tower

Landing Zone から AWS アカウントのプロビジョニング済み製品を終了するオプションがありますが、移行が完了するまで待つことをお勧めします。

 AWS Landing Zone 環境で販売されたアカウントのプロビジョニング済み製品を終了すると、`Terminate`オペレーションは保持する可能性のある関連するベースライン CloudFormation スタックセットの削除を開始します。manifest.yaml でベースラインスタックセットを評価し、スタックセットを削除した場合の影響を理解してください。スタックセットに保持するリソースがある場合は、プロビジョニング済み製品を削除しないでください。部分的な削除を行うと、プロビジョニングされた製品は Service Catalog コンソールで**テイント**状態になります。

または、アカウント自動販売機によって作成されたプロビジョニング済み製品を AWS ランディングゾーンから保持することもできます。

## 既存の組織から新しい組織の AWS Control Tower に AWS アカウントを登録する
<a name="enroll-to-new"></a>

 AWS Control Tower 新しい AWS Organizations 組織にデプロイすることもできます。新しい組織 AWS Control Tower で を設定するには、次の手順を実行します。

1. 新しい[AWS アカウント](https://repost.aws/knowledge-center/create-and-activate-aws-account)を作成します。

1. 新しく作成したアカウントにデプロイ AWS Control Tower します。

1. アカウントを既存の組織 AWS からデプロイした新しい組織に移行するには AWS Control Tower、[手順](https://aws.amazon.com/premiumsupport/knowledge-center/organizations-move-accounts/)を参照してください。対象となるアカウントアクセス、請求、ライセンス、税金に関する考慮事項をすべて確認し、理解することが重要です。

1. 組織間で AWS アカウントを移行するプロセスを理解するには、ブログ記事[「一括請求 AWS Organizations による 間のアカウントをすべての機能に移行する](https://aws.amazon.com/blogs/mt/migrating-accounts-between-aws-organizations-with-consolidated-billing-to-all-features/)」を参照してください。

1.  AWS アカウントの登録を開始します AWS Control Tower。登録を実行するには、[「既存の組織 AWS Control Tower で を使用して既存の AWS アカウントを登録する](#enroll-to-existing)」セクションを参照してください。