

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 既存のアカウントの登録について
<a name="enroll-account"></a>

AWS Control Tower ガバナンスは、AWS Control Tower によって既に管理されている組織単位 (OU) *に登録* AWS アカウント するときに、既存の個人に拡張できます。対象アカウント*は、AWS Control Tower OUs と同じ AWS Organizations 組織に属する未登録*の OU に存在します。

AWS Control Tower にアカウントを登録するには、さまざまな方法があります。**このページの情報は、すべての登録方法に適用されます。**

**注記**  
ランディングゾーンの初期設定時を除き AWS 、監査またはログアーカイブアカウントとして機能する既存のアカウントを登録することはできません。

## アカウント登録中の処理
<a name="what-happens-during-account-enrollment"></a>

登録プロセス中に、AWS Control Tower は以下のアクションを実行します。
+ アカウントのベースラインを作成します。これには、以下のスタックセットのデプロイが含まれます。
  + `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
  + `AWSControlTowerBP-BASELINE-CLOUDWATCH`
  + `AWSControlTowerBP-BASELINE-CONFIG`
  + `AWSControlTowerBP-BASELINE-ROLES`
  + `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
  + `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
  + `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`

  これらのスタックセットのテンプレートで既存のポリシーとの競合がないことを確認することをお勧めします。
+  AWS IAM アイデンティティセンター または を通じてアカウントを識別します AWS Organizations。
+ 指定した OU にアカウントを配置します。現在の OU に適用されているすべての SCP を適用して、セキュリティ体制の整合性を保ってください。
+ 選択した OU 全体に適用される SCP を使用して、必須のコントロールをアカウントに適用します。
+ アカウント内のすべてのリソースを記録するように有効に AWS Config して設定します。
+ AWS Control Tower の検出コントロールをアカウントに適用する AWS Config ルールを追加します。

**アカウントと組織レベルの CloudTrail 証跡**  
ランディングゾーンバージョン 3.1 以降で、ランディングゾーン設定でオプションの AWS CloudTrail 統合を選択した場合:  
OU 内のすべてのメンバーアカウントは、登録されているかどうかにかかわらず、OU の AWS CloudTrail 証跡によって管理されます。
AWS Control Tower にアカウントを登録すると、そのアカウントは新しい組織の AWS CloudTrail 追跡によって管理されます。CloudTrail 追跡の既存のデプロイがある場合、AWS Control Tower にアカウントを登録する前にアカウントの既存の追跡を削除しない限り、料金が重複して発生する可能性があります。
 AWS Organizations コンソールや APIs などを使用してアカウントを登録済みの OU に移動する場合は、アカウントの残りのアカウントレベルの証跡を削除できます。CloudTrail 証跡の既存のデプロイがある場合は、CloudTrail の料金が重複して発生します。
ランディングゾーンを更新して組織レベルの証跡をオプトアウトすることを選択した場合、またはランディングゾーンがバージョン 3.0 より古い場合、組織レベルの CloudTrail 証跡はアカウントには適用されません。

## VPC を使用して既存のアカウントを登録する
<a name="enroll-existing-accounts-with-vpcs"></a>

AWS Control Tower は、Account Factory で新しいアカウントをプロビジョニングするときに、既存のアカウントを登録するときとは異なる方法で VPC を処理します。
+ 新しいアカウントを作成すると、AWS Control Tower は自動的に AWS のデフォルト VPC を削除し、そのアカウントの新しい VPC を作成します。
+ 既存のアカウントを登録する場合、AWS Control Tower はそのアカウントの新しい VPC を作成しません。
+ 既存のアカウントを登録しても、AWS Control Tower はアカウントに関連付けられた既存の VPC または AWS デフォルト VPC を削除しません。

**ヒント**  
Account Factory を設定して新規アカウントに対するデフォルトの動作を変更でき、AWS Control Tower の組織内のアカウントに対して VPC がデフォルトで設定されないようにできます。詳細については、「[AWS Control Tower で VPC なしのアカウントを作成する](configure-without-vpc.md#create-without-vpc)」を参照してください。

## AWS Config リソースを使用してアカウントを登録する
<a name="example-config-cli-commands"></a>

登録するアカウントには、既存の AWS Config リソースがあってはなりません。[「既存の AWS Config リソースがあるアカウントの登録](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)」を参照してください。

設定レコーダーや配信チャネルなど、既存のアカウントの AWS Config リソースのステータスを判断するために使用できる AWS Config CLI コマンドの例をいくつか示します。

**表示コマンド:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`

通常の応答は `"name": "default"` のようになります。

**削除コマンド:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
+ `aws configservice delete-delivery-channel --delivery-channel-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name {{NAME-FROM-DESCRIBE-OUTPUT}}`

**`AWSControlTowerExecution` ロールを追加する例**

次の YAML テンプレートを使用すると、アカウントに必要なロールを作成してプログラム的に登録できます。

```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```