[新機能]Control Towerが既存の組織・アカウントに適用できるようになったのでやってみた

Control Towerが既存Organizations・アカウントに有効化できるようになりました!既にあるアカウントに対してControl Towerが適用できるため簡単に統制管理できます!後は東京リージョンに来れば…
2020.05.06

こんにちは、臼田です。

みなさん、アカウント管理してますか?(挨拶

AWS環境を統制管理するサービスであるAWS Control Towerが既存の組織(Organizations)・アカウントに対して適用することが可能になりました。

You can now use AWS Control Tower to set up new multi-account AWS environments in AWS Organizations

Control Towerは、これまでは新規のOrganizationsを作成して有効化しないといけないため、既にOrganizationsを使用・所属している環境では有効化することができませんでした。また、Control Towerが有効なOrganizationsに既存のアカウントを追加しても、Control Towerの管理下にはならず、Organizationsからは見えるけどControl Towerからは見えない、という状態になっていました。

今回のアップデートでこれらが解消されました!

前述の通り2つの機能が追加されています。

  • 既存のOrganizations上でControl Towerを有効化する
  • 既存のControl Towerにアカウントを追加する

それぞれ解説していきます。

既存のOrganizations上でControl Towerを有効化する

これは非常に簡単で、既存のOrganizationsが存在する環境のマスターアカウント上でControl Towerのコンソールから通常通り有効化するだけです。

Enable AWS Control Tower on an Existing Organization - AWS Control Tower

既存のControl Towerにアカウントを追加する

こちらは少し手間がかかります。

Enrolling an Existing AWS Account in AWS Control Tower - AWS Control Tower

大きな手順は下記のとおりです。

  • アカウントをControl TowerのOrganizationsに所属させる
  • Control Tower用IAM Roleを作成する
  • アカウントファクトリーから追加する

なお、追加した場合にはガードレールを適用したりデフォルトVPCを作成したりします。既存アカウントの環境に影響がないか上記URLから確認事項を参照してください。

それではやってみます。

アカウントをControl TowerのOrganizationsに所属させる

今回は、既にControl Towerが有効化されたマスターアカウントから、Organizationsで新しいアカウントを作成し(Control Towerで追加するのではなく)、そのアカウントを後からControl Towerに追加してみます。

Organizationsのコンソールからアカウントを追加します。この時点ではControl Towerを有効化したままで最低限の3つのアカウントのみ所属しています。

アカウント作成を選択し、メールアドレスを入力して作成します。ロール名は空欄で自動作成します。

Control Tower用IAM Roleを作成する

作成できたら新しいアカウントにアクセスして必要なRoleを作成します。作成するRoleは下記のとおりです。

 

  • Role名: AWSControlTowerExecution
  • Role権限: AdministratorAccess (AWS managed policy)
  • Role信頼関係: マスターアカウントからのAssumeRole

IAMのコンソールからロールの作成を開始します。

マスターアカウントからの信頼関係を設定するため別のAWSアカウントにてマスターアカウントのAWSアカウントIDを入力します。

AdministratorAccessを選択します。

名前はAWSControlTowerExecutionにします。(必要条件)

これで準備はOKです。

アカウントファクトリーから追加する

それではマスターアカウントでControl Towerのコンソールにアクセスして追加していきます。まだControl Towerのアカウント一覧からは既存アカウントが確認できない状態です。

アカウントファクトリーから対象のアカウントのメールアドレスなどの情報を入力します。

登録すると、アカウント一覧で登録中になります。

問題なければ30分程度で登録済みに変わります。

まとめ

既存のOrganizationsやアカウントに対してControl Towerが適用できるようになりました。これは非常に喜ばしいことです。

Control Towerを利用することによりガードレールを簡単に展開できたり、一元管理することができてアカウントの管理がとても捗ります。

あとは東京リージョンに来てくれればサイコーですね!もうしばらく待ちましょう!