Control TowerのOU登録がSCPの競合により失敗される理由と対処方法を教えてください
2026.02.19
困っていた内容
AWS Control Tower 配下の OU に対して新規アカウントの作成申請を行ったところ、OU が「未登録」状態であると指摘されました。Control Tower のダッシュボードから「OU を登録」を試みたところ、以下のエラーが表示されました。
この OU には、AWS Control Tower がアカウントを登録できない既存の SCP があります。AWS Control Tower SCP と競合するポリシーの SCP を確認してください。
どう対応すればいいの?
そのOU、または親OUにアタッチされているカスタマー管理 SCP によるポリシーが、リージョン制限など、Control Towerの動作に関係する拒否ポリシーにおいて AWSControlTowerExecution ロールを除外しているか、確認してください。
Control Tower が OU 登録(および OU へのアカウント追加)を行う際は、AWSControlTowerExecution ロールを使用します。このロールがリージョン制限 SCP によってブロックされていると、OU 登録が失敗します。
よって、上記に該当する SCP に対して以下のようにAWSControlTowerExecution ロールを除外するポリシーを追加する必要があります。
その後、再度OUを再登録し、事象が改善されるかお試しください。
"Condition": {
"ArnNotLike": {
"aws:PrincipalARN": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
]
}
}
参考情報
