AWS Control Tower アカウントの登録中に発生する AWSControlTowerExecution ロールエラーをトラブルシューティングする方法を教えてください。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

AWS Control Tower にアカウントを登録する際には、AWSControlTowerExecution ロールが存在し、そのアカウントにおいて適切に設定されている必要があります。上記の条件を満たしていない場合、次のエラーメッセージが表示される可能性があります。

"AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account.Add the role to your account if it's not present, and try again"

AWS Control Tower に登録するアカウントにサインインします。次に、AWS Identity and Access Management (IAM) コンソールで AWSControlTowerExecution ロールが存在するかどうかを確認します。存在する場合は、そのロールに AWS Organizations 管理アカウントとの信頼関係が設定されているかどうかを確認します。さらに、このロールに管理アクセスポリシーがアタッチされているかどうかを確認します。

アカウントにこのロールが存在せず、このアカウントが登録済みの組織単位 (OU) に属している場合は、次の操作を行います。

• アカウントを AWS Organizations コンソールで組織のルートレベルに移動します。アカウントが登録済みの OU に属している場合は、プロビジョニングされた製品を終了します。この方法では、AWSControlTowerExecution ロールを、サービスコントロールポリシーによりブロックされずに作成できます。
• IAM ロールを作成します。

IAM ロールを作成するには、次の手順を実行します。

1. AWS マネジメントコンソールで IAM サービスに移動します。
2. [ロール] を選択します。
3. [ロールの作成] を選択し、[カスタム信頼ポリシー] を選択します。
4. 次の信頼ポリシーを挿入します。

   {
   "Version": "2012-10-17",
   "Statement": [
   {
   "Effect": "Allow",
   "Principal": {
   "AWS": "arn:aws:iam::Management Account ID:root"
   },
   "Action": "sts:AssumeRole",
   "Condition": {}
   }
   ]
   }

   注: Management Account ID を AWS 管理アカウントの ID に置き換えてください。
5. AdministratorAccess ポリシーをアタッチします。
6. [タグ] セクション (オプション) はスキップしてください。
7. [レビュー] セクションに次の詳細を追加します。
   ロール名: AWSControlTowerExecution
   説明:「登録のためのフルアカウントアクセスを許可」
8. [ロールの作成] を選択します。

メンバーアカウントに AWSControlTowerExecution ロールが割り当てられているものの、信頼関係が正しく設定されておらず、製品で障害が発生している場合は、次の手順を実行してください。

• AWS Organizations コンソールでアカウントを組織のルートレベルに移動するか、プロビジョニングされた製品を削除します。
• AWSControlTowerExecution ロールの信頼関係を編集します。これを行うには、AWS 管理アカウント ID を引き受ける必要があります。

注: 複数のアカウント用のロールを作成する必要がある場合は、OU を再登録してください。この手順を実行すると、その OU 内のすべてのアカウントに AWSControlTowerExecution ロールが自動で作成されます。

関連情報

必要な IAM ロールを既存の AWS アカウントに手動で追加し、登録する