developersIO
Control TowerのOU登録がSCPの競合により失敗される理由と対処方法を教えてください

Control TowerのOU登録がSCPの競合により失敗される理由と対処方法を教えてください

AWS Solution Days 2017 ~AWS DB Day~
AWS Control Tower
2026.02.19

困っていた内容

AWS Control Tower 配下の OU に対して新規アカウントの作成申請を行ったところ、OU が「未登録」状態であると指摘されました。Control Tower のダッシュボードから「OU を登録」を試みたところ、以下のエラーが表示されました。

この OU には、AWS Control Tower がアカウントを登録できない既存の SCP があります。AWS Control Tower SCP と競合するポリシーの SCP を確認してください。

どう対応すればいいの?

そのOU、または親OUにアタッチされているカスタマー管理 SCP によるポリシーが、リージョン制限など、Control Towerの動作に関係する拒否ポリシーにおいて AWSControlTowerExecution ロールを除外しているか、確認してください。

Control Tower が OU 登録(および OU へのアカウント追加)を行う際は、AWSControlTowerExecution ロールを使用します。このロールがリージョン制限 SCP によってブロックされていると、OU 登録が失敗します。

よって、上記に該当する SCP に対して以下のようにAWSControlTowerExecution ロールを除外するポリシーを追加する必要があります。
その後、再度OUを再登録し、事象が改善されるかお試しください。

  "Condition": {
      "ArnNotLike": {
          "aws:PrincipalARN": [
              "arn:aws:iam::*:role/AWSControlTowerExecution"
          ]
      }
  }

参考情報

https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/common-eg-failures.html
https://repost.aws/ja/knowledge-center/aws-control-tower-role-troubleshoot

そのマルチアカウント運用、気合いで支えていませんか

Organizations や Control Tower で土台は作れても、アカウントもポリシーも増えるほど、運用は「詳しい一人」に寄りかかっていく。属人化が限界を迎える前に、組織として回す仕組み=CCoEへ。5,600社の支援から得た立ち上げの型を、無料資料にまとめました。

CCoE総合支援

組織で回す仕組みの資料をもらう

この記事をシェアする

関連記事

Control Tower のランディングゾーン設定からリージョン拒否設定で除外リージョンを追加すると、リージョン拒否コントロールのSCPも自動で変更されますか。
katsumata
2025.11.07
Control Towerへのアカウント登録時に必要な既存Config配信チャネルの削除をAdministratorAccessポリシーで試みても権限エラーになる原因と対策を教えてください。
katsumata
2025.12.23
【小ネタ】 Control Tower の管理対象リージョンに us-east-1 がないとアカウントカラーを設定できない
板倉舞
2026.02.28
aws:PrincipalArn条件キーでは、assumed-roleセッションのARNではなくロールARNを指定する必要があります
平井裕二
2025.10.14