翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# で Landing Zone Accelerator を使用してアカウントの作成を自動化する AWS
<a name="automate-account-creation-lza"></a>

*Amazon Web Services、Justin Kuskowski、Joe Behrens、Nathan Scott*

## 概要
<a name="automate-account-creation-lza-summary"></a>

このパターンでは、[Landing Zone Accelerator on AWS](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/) ソリューションを使用して、承認されたユーザーがリクエストを送信 AWS アカウント したときに新しい を自動的にデプロイする方法について説明します。を使用して、多数の AWS Lambda 関数をオーケストレーション AWS Step Functions します。Lambda 関数は、アカウント情報を Git リポジトリに追加し、 AWS CodePipeline パイプラインを開始し、必要な AWS リソースがプロビジョニングされていることを確認します。このプロセスが完了すると、アカウントが作成されたことを知らせる通知がユーザーに届きます。

必要に応じて、Microsoft Entra ID グループを統合し、アカウント作成プロセス中に AWS IAM アイデンティティセンター アクセス許可セットを割り当てることができます。組織で Microsoft Entra ID を ID ソースとして使用している場合、この方法は、新規アカウントへのアクセスを自動的に管理したり設定したりするのに役立ちます。

## 前提条件と制限
<a name="automate-account-creation-lza-prereqs"></a>

**前提条件**
+ の管理アカウントへのアクセス AWS Organizations
+ AWS Cloud Development Kit (AWS CDK) バージョン 2.118.0 以降、[インストール](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_install)および[設定](https://docs.aws.amazon.com/cdk/v2/guide/getting_started.html#getting_started_configure)済み
+ Python バージョン 3.9 以降が[インストールされている](https://www.python.org/downloads/)
+ AWS Command Line Interface (AWS CLI) バージョン 2.13.19 以降、[インストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)済み
+ Docker バージョン 24.0.6 以降が[インストールされている](https://docs.docker.com/get-started/get-docker/)
+ 管理アカウントに[デプロイ](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/deploy-the-solution.html)された Landing Zone Accelerator on AWS ソリューション
+ (オプション) Microsoft Entra ID と IAM Identity Center が[統合されている](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html)

**制限事項**

このアカウント作成のワークフローは、単一の AWS アカウントをデプロイするシーケンシャル実行に対応しています。この制限を設けることにより、アカウント作成のワークフローを、並列実行中にリソースを競合させることなく正常に完了できます。

## アーキテクチャ
<a name="automate-account-creation-lza-architecture"></a>

**ターゲットアーキテクチャ**

次の図は、Landing Zone Accelerator on AWS. AWS Step Functions orchestrates AWS アカウント を使用して新しい の作成を自動化する高レベルのアーキテクチャを示しています。Step Functions ワークフローの各タスクは、1 つ以上の AWS Lambda 関数によって実行されます。

![\[Landing Zone Accelerator on AWS を使用して新規アカウントの作成を自動化するワークフロー\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/d31abfaa-6854-4923-b896-3b817de9f4d9/images/dfd6503d-a4ed-43df-82d4-082f8153d473.png)


この図表は、次のワークフローを示しています:

1. ユーザーは、Python スクリプトを実行するか、Amazon API Gateway を使用してアカウントをリクエストします。

1. アカウント作成オーケストレーターのワークフローは、 AWS Step Functionsから始まります。

1. このワークフローはソースコードリポジトリの `account-config.yaml` ファイルを更新します。また、ランディングゾーンアクセラレーターを AWS パイプラインで開始し、パイプラインのステータスを確認します。このパイプラインは、新しいアカウントを作成し設定します。この仕組みの詳細については、Landing Zone Accelerator on AWSの「[Architecture overview](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/architecture-overview.html)」を参照してください。

1. (オプション) パイプラインが完了すると、ワークフローは Microsoft Entra ID にグループが存在するかどうかをチェックします。グループが Microsoft Entra ID に存在しない場合、ワークフローは Microsoft Entra ID にグループを追加します。

1. ワークフローは、Landing Zone Accelerator on AWS ソリューションでは実行できない追加のステップを実行します。デフォルトのステップは次のとおりです。
   +  AWS Identity and Access Management (IAM) [でのアカウントエイリアス](https://docs.aws.amazon.com/IAM/latest/UserGuide/console-account-alias.html)の作成
   + のアカウントに[タグ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tagging.html)をアタッチする AWS Organizations
   + アカウントに割り当てられたタグに基づいて [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) にパラメータを作成する

1. (オプション) ワークフローは、前に指定した Microsoft Entra ID グループに 1 つ以上の[アクセス許可セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)を割り当てます。アクセス許可セットがあることにより、グループのユーザーは新規アカウントにアクセスし、設定したアクションを実行することができます。

1.  AWS Lambda 関数は QA テストと検証テストを実行します。リソースの作成を検証し、タグが作成されたことを確認し、セキュリティリソースがデプロイされたことを検証します。

1. ワークフローはアカウントを解放し、Amazon Simple Email Service (Amazon SES) を使用してプロセスが正常に完了したことをユーザーに通知します。

Step Functions ワークフローの詳細については、このパターン内の「[追加情報](#automate-account-creation-lza-additional)」セクションにある *Step Functions のワークフロー図*を参照してください。

**Microsoft Entra ID アプリケーション**

Microsoft Entra ID と統合させる場合は、このパターンをデプロイする際に次の 2 つのアプリケーションを作成します。
+ IAM アイデンティティセンターにリンクされている、Microsoft Entra ID グループを IAM アイデンティティセンターで利用可能にするアプリケーション。この例では、この Microsoft Entra ID アプリケーションの名前は `LZA2` です。
+ Lambda 関数が Microsoft Entra ID と通信し [Microsoft Graph API](https://learn.microsoft.com/en-us/graph/identity-network-access-overview) を呼び出すことを許可するアプリケーション。このパターンでは、このアプリケーションの名前は `create_aws_account` です。

これらのアプリケーションは、Microsoft Entra ID グループを同期し、アクセス許可セットを割り当てる際に使用されるデータを収集します。

## ツール
<a name="automate-account-creation-lza-tools"></a>

**AWS のサービス**
+ [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) は、任意のスケールで REST、HTTP、WebSocket API を作成、公開、維持、監視、保護する上で役立ちます。このパターンでは、API Gateway を使用して AWS アカウント 名前の可用性を確認し、 AWS Step Functions ワークフローを開始し、Step Functions 実行のステータスを確認します。
+ [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html) は、コードで AWS クラウド インフラストラクチャを定義およびプロビジョニングするのに役立つソフトウェア開発フレームワークです。
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境のセットアップと管理に役立ちます。
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) は、アプリケーションをさまざまなソースのリアルタイムデータに接続できるようにするサーバーレスイベントバスサービスです。例えば、 AWS Lambda 関数、API 送信先を使用する HTTP 呼び出しエンドポイント、その他のイベントバスなどです AWS アカウント。このソリューションでは、Step Functions ワークフローの状態が `Failed`、`Timed-out`、`Aborted` のいずれかに変わった場合に Lambda 関数を開始する、[EventBridge ルール](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)を使用します。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) は、誰を認証し、誰に使用を認可するかを制御することで、 AWS リソースへのアクセスを安全に管理するのに役立ちます。
+ [AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) を使用すると、すべての AWS アカウント およびクラウドアプリケーションへのシングルサインオン (SSO) アクセスを一元管理できます。
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) は、データの保護に役立つ暗号化キーの作成と制御に役立ちます。このパターンでは、Amazon Simple Storage Service (Amazon S3) に保存されているデータ、Lambda 環境変数、Step Functions のデータなどのデータを暗号化するために AWS KMS キーが使用されます。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立つアカウント管理サービスです。
+ [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) は、独自の E メールアドレスとドメインを使用して E メールを送受信するのに役立ちます。新規アカウントが正常に作成されると、Amazon SES からユーザーに通知が届きます。
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) は、ウェブサーバーやメールアドレスなど、パブリッシャーとクライアント間のメッセージの交換を調整および管理するのに役立ちます。アカウント作成のプロセス中にエラーが発生すると、Amazon SNS はユーザーが設定した E メールアドレスに通知を送信します。
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html) は、 AWS Lambda 関数やその他の を組み合わせてビジネスクリティカルなアプリケーション AWS のサービス を構築するのに役立つサーバーレスオーケストレーションサービスです。
+ [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) は、設定データ管理とシークレット管理のための安全な階層型ストレージを提供します。

**その他のツール**
+ [awscurl](https://pypi.org/project/awscurl/0.6/) は AWS API リクエストの署名プロセスを自動化し、標準の curl コマンドとしてリクエストを行うのに役立ちます。
+ [Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/fundamentals/whatis) (旧 *Azure Active Directory*) は、クラウドベースの ID およびアクセス管理のサービスです。
+ [Microsoft Graph API](https://learn.microsoft.com/en-us/graph/graph-explorer/graph-explorer-overview) を使用すると、Microsoft Entra や Microsoft 365 など Microsoft のクラウドサービスのデータやインテリジェンスにアクセスすることができます。

**コードリポジトリ**

このパターンのコードは、GitHub の [lza-account-creation-workflow](https://github.com/aws-samples/lza-account-creation-workflow) リポジトリで使用できます。

[lambda\$1layer](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer) ディレクトリには、複数の Lambda 関数で参照される次のレイヤーが含まれています。
+ [account\$1creation\$1helper](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer/account_creation_helper) – このレイヤーには、ロールを引き受け、進行状況をチェックするためのモジュールが含まれています AWS Service Catalog。
+ [boto3](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer/boto3) – このレイヤーには、 に AWS Lambda 最新バージョンがあることを確認する[AWS SDK for Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/index.html)モジュールが含まれています。
+ [identity\$1center\$1helper](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_layer/identity_center_helper) – このレイヤーは IAM アイデンティティセンターへの呼び出しをサポートします。

[lambda\$1src](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src) ディレクトリには、次の Lambda 関数が含まれています。
+ [AccountTagToSsmParameter](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/event/AccountTagToSsmParameter) – この関数は、Parameter Store でパラメータを作成 AWS Organizations するために、アカウントにアタッチされたタグを使用します。各パラメータは、プレフィックス `/account/tags/` から始まります。
+ [AttachPermissionSet](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/AttachPermissionSet) – この関数は、IAM Identity Center グループにアクセス権限セットを追加します。
+ [AzureADGroupSync](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/AzureADGroupSync) – この関数は、ターゲットの Microsoft Entra ID グループを IAM アイデンティティセンターに同期します。
+ [CheckForRunningProcesses](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/CheckForRunningProcesses) – この関数は、`AWSAccelerator-Pipeline` パイプラインが実行中かどうかをチェックします。パイプラインが実行されている場合、関数は AWS Step Functions ワークフローを遅延させます。
+ [CreateAccount](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/CreateAccount) – この関数は AWS Service Catalog と AWS Control Tower を使用して新しい を作成します AWS アカウント。
+ [CreateAdditionalResources](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/CreateAdditionalResources) – この関数は、Landing Zone Accelerator によって管理されていない AWS リソース、またはアカウントのエイリアスや AWS Service Catalog タグ AWS CloudFormationなどのリソースを作成します。
+ [GetAccountStatus](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/GetAccountStatus) – この関数は、 でプロビジョニングされた製品をスキャンし AWS Service Catalog て、アカウント作成プロセスが完了したかどうかを判断します。
+ [GetExecutionStatus](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/api/GetExecutionStatus) – この関数は、実行中または完了した AWS Step Functions 実行のステータスを取得します。
+ [NameAvailability](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/api/NameAvailability) – この関数は、 AWS アカウント 名前がすでに存在するかどうかを確認します AWS Organizations。
+ [ReturnResponse](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/ReturnResponse) – アカウントの作成が完了すると、この関数が新規アカウントの ID を返します。アカウントの作成が完了していない場合はエラーメッセージが返されます。
+ [RunStepFunction](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/api/RunStepFunction) – この関数は、アカウントを作成する AWS Step Functions ワークフローを実行します。
+ [SendEmailWithSES](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/SendEmailWithSES) – この関数は、アカウントの作成が終わるのを待っているユーザーに E メールを送信します。
+ [ValidateADGroupSyncToSSO](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/ValidateAdGroupSyncToSSO) – この関数は、指定された Microsoft Entra ID グループが IAM アイデンティティセンターと同期されているかどうかをチェックします。
+ [ValidateResources](https://github.com/aws-samples/lza-account-creation-workflow/tree/main/app/lambda_src/stepfunction/ValidateResources) – この関数は、すべての AWS Control Tower カスタマイズが正常に実行されたことを検証します。

## ベストプラクティス
<a name="automate-account-creation-lza-best-practices"></a>

 AWS CDKには、次の命名規則が推奨されます。 
+ すべてのパラメータをプレフィックス `p` から開始する。
+ すべての条件をプレフィックス `c` から開始する。
+ すべてのリソースをプレフィックス `r` から開始する。
+ すべての出力をプレフィックス `o` から開始する。

## エピック
<a name="automate-account-creation-lza-epics"></a>

### 検証とタグ付けのために IAM ロールをデプロイする
<a name="deploy-the-iam-roles-for-validation-and-tagging"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| の Landing Zone Accelerator をカスタマイズ AWS する準備をします。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| `lza-account-creation-validation` ロールのデプロイを準備する | 次に、ソリューションをカスタマイズして、管理アカウント以外のすべてのアカウントに `lza-account-creation-validation` IAM ロールをデプロイします。このロールは、`ValidateResources` Lambda 関数に、新規アカウントへの読み取り専用アクセスを付与します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| `account-tagging-to-ssm-parameter-role` ロールのデプロイを準備する | 次に、ソリューションをカスタマイズして、管理アカウント以外のすべてのアカウントに `account-tagging-to-ssm-parameter-role` IAM ロールをデプロイします。このロールは、Parameter Store AWS Systems Manager でパラメータを作成するために使用されます。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| `config-log-validation-role` ロールのデプロイを準備する | 次に、ソリューションをカスタマイズして、`config-log-validation-role` IAM ロールをログアーカイブアカウントにデプロイします。このロールにより、`ValidateResources`Lambda 関数はログ記録とアクセス AWS Config ルールのために Amazon S3 バケットにアクセスできます。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 

### (オプション) Microsoft Entra ID からデータを取得する
<a name="optional-get-data-from-microsoft-entra-id"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| Lambda 関数に Microsoft Entra ID との通信を許可するアプリケーションを作成する。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | Microsoft Entra ID | 
| `create_aws_account` アプリケーションの値を取得する。 | 次に、`create_aws_account` アプリケーションに必要な値を取得します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | Microsoft Entra ID | 
| Microsoft Entra ID を IAM アイデンティティセンターと統合するアプリケーションを作成する。 | Microsoft Entra ID 管理センターで、`LZA2` アプリケーションを登録します。手順は、Microsoft ドキュメントの「[Register an application](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app)」を参照してください。 | Microsoft Entra ID | 
| `LZA2` アプリケーションの値を取得する。 | 次に、`LZA2` アプリケーションに必要な値を取得します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | Microsoft Entra ID | 
| シークレットを作成します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 

### 解決策をデプロイする
<a name="deploy-the-solution"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| ソースコードを複製します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | DevOps エンジニア | 
| `deploy-config.yaml` ファイルを更新します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| ソリューションを AWS 環境にデプロイします。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html)このソリューションでは、Amazon S3 バケットを使用してこのソリューションのソースコードを保存します。[upload\$1to\$1source\$1bucket.py](https://github.com/aws-samples/gen-ai-trivia/blob/main/scripts/upload_to_source_bucket.py) スクリプトを使用すれば、ソースコードのアーカイブを作成して更新したバージョンをアップロードできます。 | AWS DevOps | 

### オプション 1 – Python を使用してアカウントを作成する
<a name="option-1-create-an-account-using-python"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| 使用する引数を特定する。 | Step Functions のワークフローを開始する Python スクリプトを実行するときに使用する引数を選択します。引数の一覧については、本パターン内の「[追加情報](#automate-account-creation-lza-additional)」のセクションを参照してください。 | AWS DevOps、Python | 
| Python スクリプトを実行する。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | DevOps エンジニア、Python | 

### オプション 2 – API Gateway と awscurl を使用してアカウントを作成する
<a name="option-2-create-an-account-using-api-gateway-and-awscurl"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| awscurl の変数を設定します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| 名前を使用できるかどうかチェックします。 | 次のコマンドを入力して、この名前を AWS アカウントに使用できるか確認します。`<AWS_ACCOUNT_NAME>` をターゲットアカウントの名前に置き換えます。<pre>awscurl --service execute-api \<br />    --region ${AWS_REGION} \<br />    --access_key ${AWS_ACCESS_KEY_ID} \<br />    --secret_key ${AWS_SECRET_ACCESS_KEY} \<br />    --security_token ${AWS_SESSION_TOKEN} \<br />    -X POST ${API_GATEWAY_ENDPOINT}check_name?account_name=<AWS_ACCOUNT_NAME></pre> | AWS DevOps | 
| アカウント作成のワークフローを実行します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 

### (オプション) ソリューションをクリーンアップする
<a name="optional-clean-up-the-solution"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| Amazon S3 バケットからオブジェクトを削除します。 | 次の Amazon S3 バケット内にオブジェクトがあれば削除します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-account-creation-lza.html) | AWS DevOps | 
| CloudFormation スタックを削除します。 | 次の コマンドを実行して CloudFormation スタックを削除します。<pre>aws cloudformation delete-stack \<br />  --stack-name lza-account-creation-workflow-application<br />aws cloudformation wait stack-delete-complete \<br />  --stack-name lza-account-creation-workflow-application</pre> | AWS DevOps | 
| パイプラインを削除します。 | 次のコマンドを入力して `lza-account-creation-workflow-pipeline` パイプラインを削除します。<pre>cdk destroy lza-account-creation-workflow-pipeline --force</pre> | AWS DevOps  | 

## 関連リソース
<a name="automate-account-creation-lza-resources"></a>
+ [でのランディングゾーンアクセラレータ AWS](https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/)ー (AWS ソリューションライブラリ)
+ [一般的な AWS CDK 問題のトラブルシューティング](https://docs.aws.amazon.com/cdk/v2/guide/troubleshooting.html) (AWS CDK ドキュメント)

## 追加情報
<a name="automate-account-creation-lza-additional"></a>

**Step Functions のワークフロー図**

次の図は、Step Functions のワークフローで実行される手順を示したものです。

![\[Step Functions ワークフローの状態\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/d31abfaa-6854-4923-b896-3b817de9f4d9/images/d93aa7bf-1144-4f25-9488-aacc534a7813.png)


**引数**

以下は、Step Functions ワークフローを開始する Python スクリプトを実行するときに使用できる引数です。

以下の引数が必要です。
+ `account-name (-a)` (文字列) – 新しい の名前 AWS アカウント。
+ `support-dl (-s)` (文字列) – アカウント作成プロセスが完了したときに通知を受信する E メールアドレス。
+ `managed-org-unit (-m)` (文字列) – 新規アカウントを含むマネージド[組織単位 (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit)。

以下の引数はオプションです。
+ `ad-integration (-ad)` (文字列ディクショナリ) – Microsoft Entra ID グループと割り当てられたアクセス許可セット。以下は、このコマンドの使用方法の例です。

  ```
  --ad-integration "{\"<PermissionSetName>\": \"<EntraIdGroupName>\"}"
  ```
+ `account-email (-e)`** **(文字列) – 新しい のルートユーザーの E メールアドレス AWS アカウント。
**注記**  
この引数を使用しないと、E メールアドレスは `configs/deploy-config.yaml` ファイルから `rootEmailPrefix` と `rootEmailDomain` の値を使用して生成されます。E メールアドレスが指定されていない場合、E メールアドレスは `rootEmailPrefix+accountName@rootEmailDomain` の形式を使用して生成されます。
+ `region (-r)` (文字列) – Step Functions ワークフロー AWS リージョン がデプロイされた 。デフォルト値は `us-east-1` です。
+ `force-update (-f)` (文字列ブール値) – `true`を入力して、プロビジョニング済み製品の更新 AWS Service Catalog を強制します。
+ `bypass-creation (-b)` (文字列ブール値) – `true` を入力して `accounts-config.yaml` ファイルへのアカウントの追加を回避し、`AWSAccelerator-Pipeline` パイプラインの実行を回避します。この引数は、通常、アカウント作成ワークフロープロセスをテストしたり、`Landing Zone Accelerator` パイプラインでエラーが発生した場合に残りの Step Functions ステップを実行したりするために使用されます。
+ `tags (-t)` (文字列) – に追加する追加のタグ AWS アカウント。デフォルトでは `account-name`、`support-dl`、`purpose` のタグが追加されます。以下は、このコマンドの使用方法の例です。

  ```
  --tags TEST1=VALUE1 TEST2=VALUE2
  ```