複数の既存メンバーアカウントを Control Tower へ登録する方法

新しい OU を作成して、そこに複数の既存メンバーアカウントを移動させて、それらをまとめて Control Tower に登録したい方に向けたブログです。

#AWS

#AWS Control Tower

板倉舞

2024.04.18

アノテーション顧客推進チーム（構築担当）のいたくらです。
タイトルにある通り、複数の既存メンバーアカウントを Control Tower へ登録する方法を紹介します。

はじめに

Control Tower のランディングゾーンを設定後、組織に属する既存メンバーアカウントを Control Tower に登録すると思います。
その際、メンバーアカウントが多いと、まとめて Control Tower に登録したいな～と思いますよね。私も思います。
2024/04/18 時点で、おそらく一番シンプルであろう複数の既存メンバーアカウントをまとめて登録する方法を紹介します。

前提

Control Tower のランディングゾーンは設定済み
既存メンバーアカウントの Control Tower 登録作業は、IAM Identity Center（以降 IIC と表記）のユーザで実施する
- 管理アカウントに対して許可セット「AdministratorAccess」を作成して割り当て済み
- 許可する AWS マネージドポリシー: AdministratorAccess
Control Tower 登録作業を実施する IIC ユーザに AWS Control Tower Account Factory Portfolio へのアクセス権が付与されている
- 詳細: ランディングゾーン設定後、メンバーアカウントを Control Tower に登録する前に確認しておきたいこと | DevelopersIO

やってみた

実際に複数の既存メンバーアカウントを Control Tower へ登録してみました。

Step1 : 移動先 OU を作成

以下、管理アカウントにサインインして実施ください。

AWS Control Tower のサービスページから、現状のアカウント構成を確認します。
現状は下図のような構成です。

今回は、 Root > SandboxOU 配下にある 3 個のメンバーアカウントを、
Root > WorkloadsOU > ProductionOU 配下に移動させつつ、Control Tower に登録します。

まだ WorkloadsOU 配下に ProductionOU が無いので、作成します。

ここで気を付けたいのは、OU 作成は AWS Control Tower のサービスページで実施するという点です。
AWS Organizations から作成しないように注意してください。

では、AWS Control Tower のサービスページ > 組織 に移動し、「リソースを作成」>「組織単位を作成」をクリックします。

OU 名 : ProductionOU、親 OU : WorkloadsOU を入力・選択し、「追加」をクリックします。

下図のように「<新規作成した OU> は正常に作成されました」、「<新規作成した OU> は正常に登録されました」という表示が出たら完了です。

AWS Control Tower のサービスページ > 組織 に移動し、WorkloadsOU 配下の ProductionOU が「登録済み」となっていることを確認します。

Step2 : 登録するメンバーアカウント側で事前確認

以下、各メンバーアカウントにサインインして実施ください。

Control Tower に登録するメンバーアカウント側で事前確認をします。
確認項目は以下 3 点です。
参考: AWS-Black-Belt_2023_AWS-ControlTower-Procedures_0831_v1.pdf → 41 ページ

管理対象リージョンの AWS Config を無効化（設定レコーダー・配信チャネルがない）しているか
- 確認方法: AWS Configが無効化されているか - 既存アカウントをControl Towerへ登録するときに確認したことをまとめてみる | DevelopersIO
サポートするすべてのリージョンの AWS STS を有効化しているか
- 確認方法: STSエンドポイントが有効化されているか - 既存アカウントをControl Towerへ登録するときに確認したことをまとめてみる | DevelopersIO
停⽌ (Suspended) 状態のメンバーアカウントではないか
- もしも停止状態である場合は、停止済みアカウント専用の未登録組織単位（Suspended OU）を用意して移動する
- 参考: Suspended OU - Organizing Your AWS Environment Using Multiple Accounts

登録するアカウントすべてで上記の項目を確認して、必要があればリソース削除など対応します。

Step3 : メンバーアカウントを移動

以下、管理アカウントにサインインして実施ください。

Control Tower に登録するすべてのメンバーアカウントで事前準備が終わったら、メンバーアカウントを Step1 で作成した OU へ移動します。
この作業は AWS Organizations で実施します。
（OU 移動に限っては AWS Organizations で実施して OK です）

AWS Organizations のサービスページに移動します。
移動するメンバーアカウントすべてにチェックを入れて、「アクション」>「移動」をクリックします。

移動先として、ProductionOU をチェックして、「AWS アカウントを移動」をクリックします。

下図のような「移動しました」のメッセージが表示されれば OK です。

一応、AWS Control Tower のサービスページに移動し、3 個のメンバーアカウントが ProductionOU 配下に移動したことを確認します。

Step4 : メンバーアカウントを登録

以下、引き続き管理アカウントで実施ください。

メンバーアカウントを ProductionOU 配下に移動できましたが、まだ未登録の状態です。
これから Control Tower に登録します。

AWS Control Tower のサービスページ上で、ProductionOU にチェックして、「アクション」>「組織単位を再登録」をクリックします。

確認画面が表示されるので内容を一読し、最後の「利用規約への同意」にチェックして、「OU を再登録」をクリックします。

下図のような画面で登録が進行します。登録完了まで少し時間がかかるので待機します。

今回は表示されていた推定残り時間よりも早い約 30 分後、メンバーアカウントの登録が完了しました。

参考資料

AWS Control Tower 手順編 AWS Control Tower の有効化【AWS Black Belt】 - YouTube
- 動画で使用している資料: AWS-Black-Belt_2023_AWS-ControlTower-Procedures_0831_v1.pdf

あとがき

新しい OU を作成して、そこに複数の既存メンバーアカウントを移動させて、まとめて Control Tower に登録する方法を紹介しました。
新しい OU を作成せずに既存 OU をそのまま登録したい場合は、Step2 → Step4 を実施すれば登録可能です。

ちなみに、組織単位の登録（Step4 の内容）は Control Tower 側で登録の前提条件を満たしているか事前チェックをしてくれます。
この事前チェックに失敗した場合、コンソールから事前チェックの失敗原因レポートを取得することができるので、対処がしやすくなっています。

前述した参考資料がとても分かりやすいので、是非ご一読ください。
この記事がどなたかのお役に立てれば幸いです。

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。
サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社採用サイトをぜひご覧ください。