こんにちは!丸屋 正志(Maruya Masashi) です。
今日もブロックを掘ったり積み上げたり匠に壊されたりしていますか?
はじめに
書いてる途中で、あれ?これ手順書なのでは?って思いましたが、それはそれで良いかなと。
なお、ご利用中の環境に合わせて随時置き換えていただければ、簡単にメンバーアカウントをAWS Control Towerの管理下にすることができます。
このブログで実施すること
既存で運用しているAWSアカウントを、AWS Control Tower管理下のメンバーアカウントとして登録をします。
前提条件
下記のブログを参考に、AWS Control Towerを有効化しています。
現在のイメージ図
- 左側 : AWS Control Towerを有効化している環境
- 略称 : CT管理アカウント
- 右側 : 既存で運用しているAWSアカウントの環境
- 略称 : メンバーアカウント
移動後のイメージ図
【OU】TestControlTowerOUの組織配下に、【アカウント】移動用アカウントを移動後の状態
1, CT環境アカウントでの操作
? 概要 : はじめに、AWSアカウント(メンバーアカウント)をAWS Organizationsの組織に招待をします。
Step 1 : AWS Organizationsの招待
下記のURLから、AWS Organizations の招待ページにアクセスします。
(※ 【AWS コンソール】 → 【AWS Organizations】 → 【招待】 という手順でも可能です。)
招待ページにて、右上の 【AWS アカウントを招待】 をクリックします。
Step 2 : AWS アカウントを追加
【既存の AWS アカウントを招待】 を選択し、AWS アカウントの [ルートユーザーのメールアドレス] または [AWS アカウント ID] を入力し、 【招待を送信】 をクリックします。
Step 3 : 招待ステータスの確認
左ペインから 【招待】 をクリックし、招待したメンバーアカウントのメールアドレスまたは、AWSアカウントIDのステータスが『OPEN』になっていることを確認します。
※ ヘッダーの 【すべての招待を表示】 を押しても、招待ページに移動することは可能です。
2, メンバーアカウントでの操作
? 概要 : CT管理アカウントからAWS Organizationsの招待が届きますので受諾をします。
Step 1 : 招待の承諾
メールもしくは、メンバーアカウントのAWS Organizationsページにて招待を確認と承諾することが可能です。
- メール件名 :『
Your AWS account has been invited to join an AWS organization』
ここでは、AWS Organizations コンソールページを参考に進めます。 下記のURLから、AWS Organizations の招待ページにアクセスします。
(※ 【AWS コンソール】 → 【AWS Organizations】 → 【招待】 という手順でも可能です。)
Step 2 : 確認
左ペインの 【ダッシュボード】 をクリックし、下記のような状態になっていることを確認します。
3, CT環境アカウントでの操作
? 概要 : メンバーアカウントがAWS Organizationsの組織下に移動されているかを確認します。
Step 1 : 招待ステータスの確認
AWS Organizations の招待ページにアクセスし、招待したアカウントのステータスが『ACCEPTED』になっていることを確認します。
Step 2 : 未登録状態を確認
AWS Control Tower の 【組織】 ページにて、先程承諾したメンバーアカウント(未登録)が組織に追加されていることを確認します。
※ この時点では AWS Organizations の組織に追加しただけで、 AWS Control Tower の管理下ではありません。
4, メンバーアカウントでの操作
下記ブログの『確認しておくこと』を参考に設定を確認します。
- Control Tower 管理アカウントと同じOrganizations 組織に存在しているか
- ガードレールのSCPで影響が出るものがないか
- AWS Configが無効化されているか
- STSエンドポイントが有効化されているか
- Control Tower用のIAM Role(AWSControlTowerExecution)を作成しているか
5, CT環境アカウントでの操作
? 概要 : メンバーアカウントをAWS Control Towerの管理下として登録をします。
Step 1 : 対象アカウントの選択
対象のアカウントを選択し、 【アクション】 から 【登録】 をクリックします。
Step 2 : 移動先の選択
組織単位にて移動したい該当のOUを選択し、 【アカウントの登録】 をクリックします。
Step 3 : 最終確認
メンバーアカウントと移動先の組織単位名が正しいことを確認し 【アカウントの登録】 をクリックします。
Step 4 : 状態の確認
下記の様に『登録中』になりますので、『登録済み』となるまで待ちます。
※ 約10~30分ほど掛かります。
Step 5 : 登録の完了
状態が『登録済み』になっていることを確認します。
また、組織ページからも、該当の組織は以下に移動して、登録済みになっていることができます。
6, (任意)メンバーアカウントでの操作
? 概要 : IAM Identity Centerを利用している状態で、メンバーアカウントのメールアドレスも利用する場合のユーザーセットアップを実施します。
Step 1 : メンバーアカウントのメールアドレス
管理アカウントのメールアドレスに対して『件名 : Invitation to join IAM Identity Center (successor to AWS Single Sign-On)』もしくは、『件名 : Invitation to join AWS Single Sign-On』が届いているので本文中の 【Accept invitation】 ボタンをクリックします。
参考 : SNS サブスクリプションの確認
Step 2 : 新規ユーザーのサインアップ
- 『新規パスワード』: [管理アカウント用のパスワードを入力]
- 『パスワードを確認』: [管理アカウント用のパスワードを再入力]
各種入力が完了後に、【新しいパスワードを設定】をクリックして、サインインの画面に繊維します。
※ パスワードは強固な内容を推奨いたします。
Step 3 : サインイン
- 『ユーザー名』: [管理アカウントのメールアドレスを入力]
※ AWS SSO ユーザーポータルはブックマークしておくと便利です。
Step 4 : アクセス
ログインすると、下記の様なダッシュボード画面が表示されます。
Q&A
Q, AWS Control Tower の Account Factory側で、デフォルトVPCの利用制限をしているのですが、既存アカウントを移管してくる際に、デフォルトVPCを削除する必要はありますか?(添付画像を参考)
A, デフォルトVPCの削除は不要です。 既存アカウントに対しては、デフォルトVPCを使用し続けても問題はありません。(2023年6月の時点) 但し、SCP等の利用制限などで新しく作成を禁止した場合には、利用できません。
Q, 下記の様なエラーが出ました。
アカウントの登録に失敗しました。 次の理由により、AWS Control Tower はアカウントを登録できませんでした: AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account. Add the role to your account if it's not present, and try again.
A, AWSControlTowerExecution ロールが作成されていないか、ポリシー等が誤っている可能性が高いです。
Q, AWS Configを停止(無効化)したくありません。
A, 現状は、無効化する必要があります。
代案としましては、AWS Control Towerに登録する直前に無効化をして、記録されない時間を短くするのが良いかなと思います。
Q, その他のエラーが出ました、どうしたら良いですか?
A, まずは、登録の失敗の一般的な原因 を確認しつつ、解決できない場合はAWSサポートにお問い合わせください。
参考サイト
さいごに
AWS アカウントの登録は何度もしたことがありましたが、移動・移管は初めてだったので良い勉強になりました。
3
