![[アップデート] AWS Control Tower に自動アカウント登録機能が追加されました!](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-fff4d7e7c3509d1ffcc67578673c5f00/056494cb8aea27071cd8ed8a870bda83/aws-control-tower?w=3840&fm=webp)
[アップデート] AWS Control Tower に自動アカウント登録機能が追加されました!
はじめに
2025年10月15日、AWS Control Tower に自動アカウント登録機能が追加されました!
→ AWS Control Tower supports automatic account enrollment | AWS Control Tower - Release notes
このアップデートは AWS Control Tower Landing Zone バージョン 3.1 以上が対象です。
AWS Control Tower を使用したアカウント管理における課題
AWS Control Tower を使用してマルチアカウント環境を管理している組織では、アカウントを異なる OU 間で移動させることがよくあります。
例:開発環境から本番環境への移行、組織再編に伴うアカウントの配置変更など
従来、アカウントを OU 間で移動する際には、アカウント移動後、「OU の再登録」という作業を実施する必要がありました。
今回リリースされた自動アカウント登録機能は、この「OU の再登録」という作業をしなくて済むようになるというアップデートになります。
主なアップデート内容
自動アカウント登録機能を有効にすると、OU を移動した際に、AWS Control Tower が以下の処理を自動的に実行します。
- 移動先 OU のベースラインとコントロールの自動適用
アカウントが別の OU に移動されると、その OU に設定されているベースラインリソースとコントロールが自動的に適用されます。 - 移動元 OU のリソースの自動削除
以前の OU で適用されていたコントロールとベースラインリソースが自動的に削除されます。
メリット
この機能により、以下のようなメリットがあります。
- 「OU の再登録」作業が不要になり、アカウントの OU 移動にかかる運用負荷が軽減される
- 自動化により、設定ミスのリスクが低減される
- OU 移動後も適切なガバナンスポリシーが確実に適用される
自動アカウント登録機能を使ってみた
自動アカウント登録機能を有効化する
今回はマネコン上から有効化してみます。
Control Tower のサービスページに移動すると、以下のお知らせが出ていました。
「Modify settings」から設定画面に進んでもいいですが、このお知らせが消えたときのことを考えて、左メニューから選択するルートで画面遷移します。
「ランディングゾーン設定」>「設定を変更する」の順にクリックします。
「ランディングゾーンのバージョンを選択」画面は変更せずに「次へ」をクリックします。
「リージョン設定を更新」画面も変更せずに「次へ」をクリックします。
「設定を更新」画面の項目に「Automatic account enrollment - recommended」が増えているので、これにチェックを入れてから「次へ」をクリックします。
最後に確認画面で「Automatic account enrollment」が「Turned on」となっていることを確認してから「ランディングゾーンの更新」をクリックします。
プログレスバーが表示されるので気長に待ちます。
私の環境は約 20 分で更新が完了しました。
CT 登録済み OU 間でアカウントを移動してみる
リリースノートによると、AWS Organizations コンソール、AWS Organizations MoveAccount API、または AWS Control Tower コンソールを使用してアカウントを移動可能です。
Control Tower コンソールの方がどのアカウントが CT 登録済みかが分かりやすいので、今回は Control Tower コンソールを利用して移動をします。
TestOU(CT 登録済み)配下の itkr_mem01 を、SandboxOU(CT 登録済み)に移動します。
itkr_mem01 を選択し、「アクション」>「更新」の順にクリックします。
「アカウントの更新: itkr_mem01」画面の、組織単位にて「移動先OU(今回は SandboxOU)」を選択して「アカウントの更新」をクリックします。
追加で確認画面が表示されるので内容を確認し、「アカウントの更新」をクリックします。
「更新リクエストが送信されました」の表示が出れば OK です。
ページを更新すると「AWS Control Tower baseline status」が「進行中」になるので、これが「有効」になるまで待ちます。
私の環境は約 5 分で完了しました。
いままではこの作業をしてから「OU の再登録」を実施する必要があったので、1 ステップ無くなったのは大きいですね。
CT 登録済みアカウントを CT 未登録 OU に移動してみる
続いて、Organizations コンソールを利用して、CT 登録済みアカウント(itkr_mem03)を CT 未登録 OU(SuspendedOU)に移動してみます。
なぜ Control Tower コンソールではなく Organizations コンソールを利用したかというと、Control Tower コンソールでは移動先 OU として CT 未登録 OU が選択不可だったためです。。。
Organizations コンソールにて、itkr_mem03 を選択し、「アクション」>「移動」の順にクリックします。
「AWS アカウント「itkr_mem03」を移動」画面の、移動先にて「移動先OU(今回は SuspendedOU)」を選択して「AWS アカウントを移動」をクリックします。
「移動しました」の表示が出れば OK です。
Control Tower コンソールに移動して SuspendedOU を確認すると、itkr_mem03 の移動は完了していて、「AWS Control Tower baseline status」が「進行中」になっていました。
しばらくすると「有効になっていません」になりました。
管理アカウントから CloudFormation StackSets 経由で展開される Control Tower 管理リソースのデプロイ先を確認したところ、以下の StackSets から itkr_mem03 のスタックインスタンスが消えていました。
- AWSControlTowerBP-BASELINE-SERVICE-ROLES
- AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE
- AWSControlTowerBP-BASELINE-ROLES
- AWSControlTowerBP-BASELINE-CONFIG
- AWSControlTowerBP-BASELINE-CLOUDWATCH
リリースノートに「登録済みの OU 外にアカウントを移動すると、AWS Control Tower はデプロイ済みのすべてのベースラインリソースとコントロールを自動的に削除します」という記載があったので、この挙動を指していると考えられます。
さいごに
AWS Control Tower の自動アカウント登録機能を実際に試してみました。
従来はアカウントを OU 間で移動後、「OUの再登録」という作業が必要でしたが、この機能によりその 1 ステップが不要になりました。
一見すると小さな改善に見えるかもしれませんが、複数のアカウントを定期的に移動する運用を行っている環境では、この自動化は大きな運用負荷の軽減につながると感じました。
また、アカウントを CT 未登録 OU へ移動した際に Control Tower 管理リソースが自動的にクリーンアップされるようになった点も良いアプデ内容だと感じました。
AWS Control Tower を使ってマルチアカウント環境を運用している方は、ぜひこの機能を有効化してみてください。
この記事がどなたかのお役に立てれば幸いです。
以上、クラウド事業本部 コンサルティング部のいたくら(@itkr2305)でした!
