ランディングゾーン設定後、メンバーアカウントを Control Tower に登録する前に確認しておきたいこと

板倉舞

2024.04.12

アノテーション 顧客推進チーム(構築担当)のいたくらです。
ランディングゾーン設定後、既存メンバーアカウントを Control Tower に登録すると思います。
その登録作業をする前に、確認いただきたい設定があるので紹介します。

前提

  • Control Tower のランディングゾーンは設定済み
  • メンバーアカウント登録作業を実施する IAM Identity Center ユーザー(もしくは IAM ユーザー)は作成済み

確認しておきたい設定

  • AWS Service Catalog の AWS Control Tower Account Factory Portfolio に対して、アカウント登録作業を実施する IAM プリンシパルが許可されているか

実際に確認してみる

実際に管理アカウント上で確認してみます。
管理者権限を持った IAM ユーザー等で管理アカウントにサインインします。
AWS Service Catalog のサービスページに移動します。
ポートフォリオの一覧から、AWS Control Tower Account Factory Portfolio をクリックします。

「アクセス」タブをクリックします。

このように「IAM プリンシパルとプリンシパル名」がゼロの場合は、アカウント登録作業を実施する IAM プリンシパルを追加する必要があります。

一方、下図のように IAM プリンシパルに対して既にアクセス権が付与されている場合、IAM Identity Center(以降 IIC と表記)側で確認するポイントがあります。

順番に詳しく見ていきます。

①「IAM プリンシパルとプリンシパル名」がゼロだった場合

アカウント登録作業を実施する IAM プリンシパルを追加します。

「アクセス」タブをクリックして、「アクセス権の付与」をクリックします。

■ アカウント登録作業を IIC ユーザー で実施する場合

アクセスタイプが IAM Principal であることを確認します。
「ロール」タブをクリックし、検索欄に sso と入力して、AWSReservedSSO_ から始まるロールをクリックします。

【例】
アカウント登録作業を実施する IIC ユーザーが、許可セット「AdministratorAccess」を使用する場合、AWSReservedSSO_AdministratorAccess_ から始まるロールを選択します。

最後に「アクセス権を付与」をクリックします。

画面を更新し、「アクセス」タブに先ほど追加した IAM プリンシパル(ロール)が表示されていれば OK です。

補足

AWSReservedSSO_<許可セット名>_ のロールが表示されない場合は、そもそも管理アカウントに対して、想定している許可セットが割り当てられていない可能性が高いです。
管理アカウントに想定している許可セットが割り当てられているかをご確認ください。

■ アカウント登録作業を IAM ユーザー で実施する場合

アクセスタイプが IAM Principal であることを確認します。
「ユーザー」タブをクリックし、アカウント登録作業を実施する IAM ユーザーをクリックします。

最後に「アクセス権を付与」をクリックします。

画面を更新し、「アクセス」タブに先ほど追加した IAM プリンシパル(ユーザー)が表示されていれば OK です。

② IAM プリンシパルに既にアクセス権が付与されていた場合

Control Tower のランディングゾーン設定時の「AWS アカウントアクセス設定」で、下図のように AWS Control Tower は IAM Identity Center を使用して AWS アカウントアクセスを設定します。 を選択した場合は、

下図のように既にアクセス権が付与されていると思います。

この場合は IIC にて、アカウント登録作業を実施する IIC ユーザーが、管理アカウントに割り当てられたグループに含まれているかを確認します。

IAM Identity Center のサービスページに移動します。
「グループ」をクリックし、AWSControlTowerAdmins をクリックします。

管理アカウントの E メールアドレスがユーザー名となった IIC ユーザが既に属していると思いますが、今回はそのユーザーでアカウント登録作業はしない想定で進めます。
アカウント登録作業を実施する IIC ユーザーが属していない場合は、「ユーザーをグループに追加」をクリックします。

アカウント登録作業を実施する IIC ユーザーを選択し、「1 名のユーザーを追加」をクリックします。

先ほどのユーザー一覧に追加した IIC ユーザーが反映されていれば OK です。

補足

AWSControlTowerAdmins グループに IIC ユーザを追加しましたが、AWSAccountFactory グループに追加でも OK です。
ご自身の運用方針に適したグループに IIC ユーザーを追加ください。

また、AWSControlTowerAdmins / AWSAccountFactory グループや、許可セット AWSAdministratorAccess / AWSServiceCatalogEndUserAccess のような Control Tower が自動生成したリソースを利用する方針で手順を記載しましたが、ご自身で IIC グループ / 許可セットを作成し、管理アカウントに割り当てるでも OK です。

あとがき

Control Tower のランディングゾーンを設定後、早速メンバーアカウントを登録するぞ~となっても、この設定が完了していないとアカウント登録時にエラーが表示され、出鼻をくじかれてしまいます。
メンバーアカウントの登録を始める前に一度この設定をご確認ください。
この記事がどなたかのお役に立てれば幸いです。

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。
サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

[小ネタ] CloudWatch Logsに保存されているログの総容量をAWS CLIからサクッと確認する

荒平 祐次(arap)

2024.04.30

[小ネタ]CodeConnectionsのホスト設定でSelf Managed版GitLabに接続できないときに出たエラー集

たぬき

2024.04.30

[Workshop] re:Invent 2023 の Workshop と Builders’ Session のうち、新たに公開が確認できたコンテンツの一覧リストを作成してみた(2024年4月版) #AWSreInvent

川崎照夫

2024.04.30

VPCフローログの集約間隔はNitroベースのインスタンスかどうかで異なる

なおにし

2024.04.30