AWS Control Tower を使って、SSOできるAWSアカウントを新規作成する

AWS Control Tower を使って複数アカウントを管理している場合、新しい環境のためのアカウントを簡単に用意できます。個人開発で新サービスのための開発・本番環境を用意したいときなど、AWS アカウントの追加手順を説明します。

アカウントが属する組織単位を作成する

AWS マネジメントコンソールにログインし、「AWS Control Tower」の左メニュー「組織」「リソースを作成」「組織単位を作成」で作成します。新サービスを作るのであればサービス名の組織単位(OU)などを作りますが、既存の組織単位にぶら下げるのであれば不要です。

AWS Control Tower からアカウントを作成する

「AWS Control Tower」左メニュー「Account Factory」「アカウントの作成」でアカウントを作成します。

• アカウント E メール：Gmail のエイリアスなどを使ったアカウント専用メールアドレス
• 表示名：自分のわかりやすい名前
• Identity Center ユーザーの E メール：SSO ログインするユーザーのメールアドレス
• IAM Identity Center のユーザー名：「Identity Center ユーザーの E メール」で指定したユーザーの名前
• 組織単位：あらかじめ作成しておいた組織単位

作成すると以下のメッセージが表示されます。

作成リクエストが送信されました。 AWS Control Tower でアカウントをプロビジョニングしています。リクエストの詳細については、AWS Service Catalog の hoge を参照してください。

アカウントが使用可能になるのを待つ

AWS Service Catalog の画面か、Control Tower の画面で、ステータスが「変更中」から「登録済み」になるのを待ちます。私の場合は 10〜30 分くらいかかりました。

~/.aws/config を修正する

AWS Config のプロファイルに SSO の設定を追記します。

以上で設定は完了です。