AWS Control Tower 管理下に既存のアカウントを追加する手順🚀

AWS Control Tower 管理下に既存のアカウントを追加する手順🚀

AWSクロスアカウント AWSサーバーレス特集 AWSセキュリティ
2022.10.25
この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!

以前よりさらにマルチアカウントの管理が楽になる AWS Control Tower 、皆様利用されておりますでしょうか?

今回は AWS Control Tower で既存のアカウントを追加する手順をまとめてみました!

想定する読者

  • AWS Control Tower を導入したいヒト
  • 既存のAWSアカウントを AWS Control Tower で管理したいヒト

はじめに

AWS Control Tower とは、マルチアカウントで運用する際に必要なセットアップを提供してくれるサービスです。

新規アカウントは何もせずにセットアップをしてくれるのですが、既存アカウントは手動対応が必要となります。今回はこちらについて解説していきます!

AWS Control Tower とは?

AWS Control Tower をもう少し詳しく説明すると、ログアーカイブアカウントや監査アカウントなどを自動的に構築し、管理下のアカウントにポリシーを適用したり、AWS Config などのルールのセットアップを自動的に設定してくれたりするサービスです。前提条件として、AWS Organizations を有効にしている必要があります。

実際に作成されるOU(組織)やAWSアカウントには以下のものがあります。

OUAWSアカウント用途
SecurityLog Archiveランディングゾーン内のすべてのアカウントからの API アクティビティとリソース設定に関するログのリポジトリとして使用されます。
SecurityAuditセキュリティチームとコンプライアンスチームに対してランディングゾーンのすべてのアカウントへの読み書きアクセスを許可するように設計された制限付きのアカウントです。
Sandboxなしサンドボックス用のAWSアカウントを管理するためのOUです。
引用元:AWS Control Tower の仕組み

これらのOUやAWSアカウントは AWS Control Tower の機能やマルチアカウントにとって必要なアカウントになります。

それ以外にも Organizations にSCPをいくつか作成してくれたり、登録したAWSアカウント内で AWS Config ルールを設定してコンプライアンス検知を勝手にしてくれたりします。これらのルールを、AWS Control Tower ではガードレールと呼びます。

ガードレールには必須なものと任意で設定できるものがありますので、お好きなようにカスタマイズしてAWSアカウントのセッティングを行なってください。

AWSが考えるマルチアカウントのベストプラクティスを実践した形が AWS Control Tower の構築内容およびアーキテクチャになります。誰でもなんとなくマルチアカウント運用を正しくやれるというメリットがありますので、まだ適用されていない方は利用することをお勧めします。

事前確認

AWS Control Tower にAWSアカウントを追加する前にまず以下の対応を行ってください。

  • AWS Config 設定レコーダーまたは配信チャネルを持っている場合は削除
  • すでにあるSCPと AWS Control Tower のルールが競合していないかを確認

特にAWSアカウントに対して設定をしていないほうがスムーズに追加できます。一度ご自身の環境を確認してから次の手順を実行してください。

手順

方法は簡単です。AWS Control Tower のコンソール画面で「組織単位」を選択したのち、追加したいOUを選択し、「OUを登録」するだけで追加作業は完了です。


既存のOUを追加

上記のように、管理対象のアカウントが赤色になっているところがまだ登録できていない部分です。「管理対象のアカウント」がすべてグリーンになれば既存のアカウントをすべて追加したことになります。

基本自動的にチェックが走り、登録できない場合はできない理由が表示されますのでそれに従えば問題なく登録できます。サービスに影響はないのでダウンタイムはゼロです。

登録画面の一部

なお登録画面には、リスクや適用されるガードレールの内容なども確認できますので、最終確認としてこちらは一読しておいてください。

注意事項

作成したOUや既存のOUにSCPがある場合、それらは継承されます。AWSアカウントの整理を行う場合は必ず、SCPの影響範囲を考えましょう。

例えば東京リージョン以外は使用できないSCPや、一部のサービスを利用不可にしているSCPをOUに適用している場合は要注意です。

AWSブログで紹介されている方法について

AWSブログでは、スクリプトを実行してすべての既存AWSアカウントを AWS Control Tower に追加する方法が紹介されています。

Field Notes: Enroll Existing AWS Accounts into AWS Control Tower

ですが登録したいAWSアカウントがそれほど多くない場合は、コンソールからひとつずつ登録していったほうが簡単かと思います(コンソールの場合、ひとつずつしか登録ができない)。記事で紹介されている方法では、EC2を一時的に作成しているのでコストも少しかかるため、個人的にはコンソールからの登録をお勧めします。

関連記事

まとめ

既存アカウントの追加方法は単純なものではありますが、すでに色々とセッティングされている方は事前確認を怠らず AWS Control Tower にAWSアカウントを追加してください。参考になれば幸いです。

このブログでは、AWS の記事をどんどん公開しておりますので、ご興味のある方は他の記事もご覧いただければと思います。

AWS に関する開発は、お気軽にお問い合わせください。

AWS サーバーレスの開発でお悩みなら
ラーゲイトまでご相談ください

開発前の懸念やサーバーレスの不明点、小さな悩みまでお気軽にご相談ください

お問合せはこちら

カテゴリー

Amplify (16) AppSync/Graphql (28) AWSクロスアカウント (8) AWSサーバーレス特集 (151) AWSセキュリティ (22) Dart (0) DynamoDB (13) ECS/Fargate (4) Flutter (0) Java (1) OpenSearch (4) React/Next (9) ServerlessFramework (28) Typescript (29) Vue/Nuxt (21) Web3 (15) プレスリリース (11) 機械学習 (9)
Contact

開発相談

お気軽にお問い合わせください
Recruit

採用情報

一緒に世界の最新技術とモダンな
ユーザー体験に挑戦しませんか。

ラーゲイトは、世界の最新技術を追い続ける
プロフェッショナルチームです。

TOP ABOUT US COMPANY PRIVACY POLICY CONTACT BLOG WORKS
© 2019 Ragate INC.