概要前提条件と制限事項アーキテクチャツールエピックトラブルシューティング関連リソース

AWS メンバーアカウントをからに移行する AWS Organizations AWS Control Tower

Rodolfo Jr. Cerrada、Amazon Web Services

概要

このパターンでは AWS Organizations、管理アカウントによって管理されるメンバーアカウントである AWS アカウントからに移行する方法について説明します AWS Control Tower。アカウントをに登録することで AWS Control Tower、アカウントのガバナンスを合理化する予防的および検出的なコントロールと機能を活用できます。AWS Organizations 管理アカウントが侵害され、メンバーアカウントを管理対象の新しい組織に移動する場合は、メンバーアカウントを移行することもできます AWS Control TowerAWS Control Tower。

AWS Control Tower は、マルチアカウント環境全体で一貫したコンプライアンスとガバナンスを確保する AWS のサービスなど AWS Organizations、他のいくつかの機能を組み合わせて統合するフレームワークを提供します。を使用すると AWS Control Tower、の機能を拡張する一連の規定のルールと定義に従うことができます AWS Organizations。たとえば、コントロールを使用して、セキュリティログと必要なクロスアカウントアクセス許可が作成され、変更されないようにすることができます。

前提条件と制限事項

前提条件

アクティブな AWS アカウント
AWS Control Tower でターゲット組織にを設定する AWS Organizations (手順については、 AWS Control Tower ドキュメントの「のセットアップ」を参照してください)
AWS Control Tower (AWSControlTowerAdmins グループのメンバー) の管理者認証情報
ソースの管理者認証情報 AWS アカウント

制限事項

のソース管理アカウントは、のターゲット管理アカウントとは異なる AWS Organizations 必要があります AWS Control Tower。

製品バージョン

AWS Control Tower バージョン 2.3 (2020 年 2 月) 以降 (リリースノートを参照)

アーキテクチャ

次の図は移行プロセスとリファレンスアーキテクチャを示しています。このパターンでは、をソース組織 AWS アカウントから管理対象のターゲット組織に移行します AWS Control Tower。

別の組織に移行され、登録済みの OU に移動された AWS アカウントの AWS Control Tower 登録プロセス。

登録プロセスは、3 つの手順があります。

ターゲット組織は組織に参加するようアカウントの招待を送信します。
アカウントは招待を受け入れ、ターゲット組織のメンバーになります。
アカウントはに登録 AWS Control Tower され、登録された組織単位 (OU) に移動されます。( AWS Control Tower ダッシュボードを確認して登録を確認することをお勧めします）。この時点で、登録された OU で有効になっているすべてのコントロールが有効になります。

ツール

AWS サービス

AWS Organizations は、作成して一元管理する単一のエンティティ (組織) AWS アカウントに複数のを統合することができるアカウント管理サービスです。
AWS Control Tower は、セキュリティ AWS Organizations、運用 AWS IAM アイデンティティセンター、コンプライアンスのガバナンスルールを AWS Service Catalog内のすべての組織とアカウントで大規模に適用および管理できるように、を含む他のサービスの機能を統合します AWS クラウド。

エピック

タスク	説明	必要なスキル
にサインインします AWS Control Tower。	管理者として AWS Control Tower コンソールにサインインします。現在、をソース組織 AWS アカウントから管理対象の OU 内の組織に直接移動する方法はありません AWS Control Tower。ただし、すでに管理されている OU に登録 AWS アカウントするときに、ガバナンス AWS Control Tower を既存のに拡張できます AWS Control Tower。そのため、このステップ AWS Control Tower ではにログインする必要があります。	AWS Control Tower 管理者
メンバーアカウントを招待します。	AWS Organizations コンソールにサインインし、 AWS アカウントページに移動します。「 AWS アカウントの追加」ページで、「既存のを招待する AWS アカウント」を選択します。 12 桁のアカウント番号 (ダッシュなし)、オプションの説明とタグなど、アカウント情報を入力してから、[Send invitation（招待を送信）] を選択します。重要アカウントの移管によってアプリケーションまたはネットワーク接続が影響を受けないことを確認します。このアクションで、メンバーアカウントへのリンクを記載した招待メールを送信します。アカウント管理者がリンクをたどって招待を受け入れると、メンバーアカウントがAWS アカウントページに表示されます。詳細については、 AWS Organizations ドキュメントの「アカウント招待の管理」を参照してください。	AWS Control Tower 管理者
アプリケーションと接続性をテストします。	メンバーアカウントが新しい組織に登録されると、ルート内の OU に表示されます。また、 AWS Control Tower 登録された OU にまだ登録されていないため、アカウントに登録されていないというフラグが付けられたAWS Control Tower コンソールにも表示されます。以下について確認します。 AWS Control Tower ダッシュボードをチェックして、ガードレール違反がないかどうかを確認します。ネットワーク接続 (VPN または AWS Direct Connect) をチェックして、転送の影響を受けていないことを確認します。 (アプリケーション所有者) このアカウントに関連付けられているアプリケーションをテストして、アプリケーションが期待どおりに動作し、依存関係がアカウント移管の影響を受けていないことを確認します。	AWS Control Tower 管理者、メンバーアカウント管理者、アプリケーション所有者

タスク

説明

必要なスキル

にサインインします AWS Control Tower。

管理者として AWS Control Tower コンソールにサインインします。

現在、をソース組織 AWS アカウントから管理対象の OU 内の組織に直接移動する方法はありません AWS Control Tower。ただし、すでに管理されている OU に登録 AWS アカウントするときに、ガバナンス AWS Control Tower を既存のに拡張できます AWS Control Tower。そのため、このステップ AWS Control Tower ではにログインする必要があります。

AWS Control Tower 管理者

メンバーアカウントを招待します。

AWS Organizations コンソールにサインインし、 AWS アカウントページに移動します。
「 AWS アカウントの追加」ページで、「既存のを招待する AWS アカウント」を選択します。
12 桁のアカウント番号 (ダッシュなし)、オプションの説明とタグなど、アカウント情報を入力してから、[Send invitation（招待を送信）] を選択します。

重要

アカウントの移管によってアプリケーションまたはネットワーク接続が影響を受けないことを確認します。

このアクションで、メンバーアカウントへのリンクを記載した招待メールを送信します。アカウント管理者がリンクをたどって招待を受け入れると、メンバーアカウントがAWS アカウントページに表示されます。詳細については、 AWS Organizations ドキュメントの「アカウント招待の管理」を参照してください。

AWS Control Tower 管理者

アプリケーションと接続性をテストします。

メンバーアカウントが新しい組織に登録されると、ルート内の OU に表示されます。また、 AWS Control Tower 登録された OU にまだ登録されていないため、アカウントに登録されていないというフラグが付けられたAWS Control Tower コンソールにも表示されます。

以下について確認します。

AWS Control Tower ダッシュボードをチェックして、ガードレール違反がないかどうかを確認します。
ネットワーク接続 (VPN または AWS Direct Connect) をチェックして、転送の影響を受けていないことを確認します。
(アプリケーション所有者) このアカウントに関連付けられているアプリケーションをテストして、アプリケーションが期待どおりに動作し、依存関係がアカウント移管の影響を受けていないことを確認します。

AWS Control Tower 管理者、メンバーアカウント管理者、アプリケーション所有者

タスク	説明	必要なスキル
コントロールを確認し、違反を修正します。	ターゲット OU で定義されているコントロール、特に予防コントロールを確認し、違反を修正します。ラン AWS Control Tower ディングゾーンを設定すると、いくつかの必須の予防コントロールがデフォルトで有効になります。これらは無効化できません。アカウントを登録する前に、これらの必須コントロールを確認し、メンバーアカウントを (手動またはスクリプトを使用して) 修正する必要があります。注記予防的コントロールは、 AWS Control Tower 登録されたアカウントを準拠させ、ポリシー違反を防止します。予防コントロールに違反すると、登録に影響する可能性があります。検出コントロール違反は AWS Control Tower 、登録が成功するとダッシュボードに表示されます。登録プロセスには影響しません。詳細については、 AWS Control Tower ドキュメントの「コントロールについて」を参照してください。	AWS Control Tower 管理者、メンバーアカウント管理者
コントロール違反を修正した後、接続の問題がないか確認します。	場合によっては、コントロール違反を修正するために、特定のポートを閉鎖するか、サービスを無効にする必要があります。アカウントを登録する前に、それらのポートやサービスを使用するアプリケーションが修正されていることを確認します。	アプリ所有者

タスク

説明

必要なスキル

コントロールを確認し、違反を修正します。

ターゲット OU で定義されているコントロール、特に予防コントロールを確認し、違反を修正します。

ラン AWS Control Tower ディングゾーンを設定すると、いくつかの必須の予防コントロールがデフォルトで有効になります。これらは無効化できません。アカウントを登録する前に、これらの必須コントロールを確認し、メンバーアカウントを (手動またはスクリプトを使用して) 修正する必要があります。

注記

予防的コントロールは、 AWS Control Tower 登録されたアカウントを準拠させ、ポリシー違反を防止します。予防コントロールに違反すると、登録に影響する可能性があります。検出コントロール違反は AWS Control Tower 、登録が成功するとダッシュボードに表示されます。登録プロセスには影響しません。詳細については、 AWS Control Tower ドキュメントの「コントロールについて」を参照してください。

AWS Control Tower 管理者、メンバーアカウント管理者

コントロール違反を修正した後、接続の問題がないか確認します。

場合によっては、コントロール違反を修正するために、特定のポートを閉鎖するか、サービスを無効にする必要があります。アカウントを登録する前に、それらのポートやサービスを使用するアプリケーションが修正されていることを確認します。

アプリ所有者

タスク	説明	必要なスキル
にサインインします AWS Control Tower。	AWS Control Tower コンソールにサインインします。管理者権限を持つサインイン認証情報を使用します AWS Control Tower。ルートユーザー (管理アカウント) 認証情報を使用して AWS Organizations アカウントを登録しないでください。エラーメッセージが表示されます。	AWS Control Tower 管理者
アカウントを登録します。	の Account Factory ページから AWS Control Tower、アカウントの登録を選択します。登録するアカウントに関連付けられた E メールアドレス、に表示される表示名 AWS Control Tower、IAM Identity Center の E メールアドレス、アカウント所有者の姓名、アカウントを登録する OU などの詳細を入力します。IAM ID センターのメールアドレスは、優先ユーザーメールアドレスです。アカウントメールと同じメールアドレスを使用できます。 [[Enroll account（アカウントの登録）] を選択します。詳細については、 AWS Control Tower ドキュメントの「既存のアカウントの登録について」を参照してください。	AWS Control Tower 管理者

タスク	説明	必要なスキル
アカウントを検証します。	から AWS Control Tower、アカウントを選択します。登録したばかりのアカウントの初期状態は [Enrolling（登録中）] です。登録が完了すると、状態は [Enrolled（登録済み）] に変わります。	AWS Control Tower 管理者、メンバーアカウント管理者
コントロール違反を確認します。	OU で定義されたコントロールは、登録されたメンバーアカウントに自動的に適用されます。 AWS Control Tower ダッシュボードの違反をモニタリングし、それに応じて修正します。詳細については、 AWS Control Tower ドキュメントの「コントロールについて」を参照してください。	AWS Control Tower 管理者、メンバーアカウント管理者

トラブルシューティング

問題	ソリューション
[An unknown error occurred（不明のエラーが発生しました）] というエラーメッセージが表示されます。後で再試行するか、 AWS サポートにお問い合わせください。	このエラーは、でルートユーザー認証情報 (管理アカウント) AWS Control Tower を使用して新しいアカウントを登録する場合に発生します。 AWS Service Catalog は Account Factory ポートフォリオまたは製品をルートユーザーにマッピングできず、エラーメッセージが発生します。このエラーを修正するには、ルート以外のフルアクセスユーザー (管理者) 認証情報を使用して新しいアカウントを登録します。管理ユーザーに管理アクセスを割り当てる方法の詳細については、IAM Identity Center ドキュメントの「開始方法」を参照してください。
AWS Control Tower アクティビティページには、致命的なドリフトの取得アクションが表示されます。	このアクションはサービスのドリフトチェックを反映し、 AWS Control Tower セットアップの問題を示すものではありません。アクションは必要ありません。

問題

ソリューション

[An unknown error occurred（不明のエラーが発生しました）] というエラーメッセージが表示されます。後で再試行するか、 AWS サポートにお問い合わせください。

このエラーは、でルートユーザー認証情報 (管理アカウント) AWS Control Tower を使用して新しいアカウントを登録する場合に発生します。 AWS Service Catalog は Account Factory ポートフォリオまたは製品をルートユーザーにマッピングできず、エラーメッセージが発生します。このエラーを修正するには、ルート以外のフルアクセスユーザー (管理者) 認証情報を使用して新しいアカウントを登録します。管理ユーザーに管理アクセスを割り当てる方法の詳細については、IAM Identity Center ドキュメントの「開始方法」を参照してください。

AWS Control Tower アクティビティページには、致命的なドリフトの取得アクションが表示されます。

このアクションはサービスのドリフトチェックを反映し、 AWS Control Tower セットアップの問題を示すものではありません。アクションは必要ありません。

AWS メンバーアカウントを から に移行する AWS Organizations AWS Control Tower

概要

前提条件と制限事項

アーキテクチャ

ツール

エピック

重要

注記

トラブルシューティング

関連リソース

AWS メンバーアカウントをからに移行する AWS Organizations AWS Control Tower