🫨

AWS Control Tower：Organizations間移行で遭遇する「Internal Failure」の真実と解決策

kacchan822

2026/02/24に公開

!本記事の内容は、2026/02/20 時点での AWS Control Tower(LZ 4.0)での挙動に基づくものです。AWS Control Towerの仕様変更などにより異なる挙動となる場合があります。

最新の情報は、AWS公式ドキュメントやAWSサポートと確認されるようにお願いします。

 はじめに2025年後半、AWS Organizationsに待望のアップデートが舞い込んできました。
（関連情報）AWS Organizations間でのメンバーアカウントの直接移動がサポートされました2025年11月19日のアップデートにより、Organizations間での直接のアカウント移行が可能になりました。

これまでは、アカウントを別組織へ移動させるには一度「スタンドアロンアカウント」にする必要があり、その過程でクレジットカード等の請求先情報を登録しなければならないなど、コンプライアンスやガバナンスの面で高いハードルがありました。

このアップデートにより、請求先情報の登録なしで組織間移動ができるようになり、アカウントの引っ越しが格段にスムーズになりました。

https://aws.amazon.com/jp/about-aws/whats-new/2025/11/aws-organizations-direct-account-transfers/
Organizationsレベルでの移動は簡単になりましたが、その後の「Control Towerへの登録」には依然として大きな落とし穴が潜んでいます。
AWS Control Towerが有効な環境間でメンバーアカウントを移行（Organizationsの引っ越し）した際、移行先での登録に 「Internal Failure」 で失敗する事象に遭遇しました。
単なる「再試行」では解決せず、原因はメンバーアカウント側に残されたCloudFormationスタック にありました。サポートへの問い合わせで判明した詳細なメカニズムと解決策を共有します。

 発生した事象Control Towerの「アカウント自動登録」が有効な環境において、別組織から移入したアカウントをControl Towerでの管理が有効になっているOU（Sandboxなど）に配置したところ、以下のエラーが発生しました。

エラー内容: 次の理由により、AWS Control Tower はアカウントを登録できませんでした：Internal Fallure

状況: AWS Control Tower baseline status が 「失敗」 となり、詳細が不明

 移行パターンによる違い今回の事象は、「移行元でもControl Towerを使っていたか」 が分かれ目になります。

移行元の状態
OUに入れるだけの自動登録

Control Tower未利用
成功

Control Tower利用中
失敗

 原因：CloudFormationスタックによる「管理権限のゴースト」結論から言うと、原因はメンバーアカウント側に残っていた CloudFormationスタック でした。

 動作のメカニズム
移行元での登録時: Control Towerが AWSControlTowerExecution ロールを作成するために、StackSet-AWSControlTowerExecutionRole-* スタックをメンバーアカウントにデプロイします。

移行元での解除時: 管理を解除すると、ロール自体は削除されますが、スタック（の抜け殻）はメンバーアカウントに残ります。

スタックの「固執」: このスタック内では「 AWSControlTowerExecution ロールはこの私が管理しているリソースである」という記録が残ったままになります。

移行先での登録失敗: 移行先のControl Towerが新しいスタックで同名のロールを作ろうとしますが、CloudFormationの仕様により 「他のスタックが管理しているリソース（名前）は作成できない」 と拒否され、結果として Internal Failure が発生します。

※この図解はGoogleのAI「Gemini」を使用して生成しました。

 解決手順別のControl Tower環境へアカウントを移入し、スムーズに自動登録を完了させるには「お掃除」が不可欠です。

【移行元】 AWS Control Towerの「アカウントの登録解除」を実施する。

【メンバーアカウント】 移行対象アカウントにログインし、CloudFormationコンソールから StackSet-AWSControlTowerExecutionRole-* スタックを削除する。

※このスタックが残っていると、新しい組織での自動登録が100%失敗します。

【組織移動】 Organizations間でアカウントの移行（招待・承諾）を実施する。

【移行先】 対象アカウントをControl Tower管理下のOUに移動する。
これにより、新しい組織のControl Towerがクリーンな状態でスタックを再デプロイし、登録が成功します。
!Control Tower管理のOU以下に移動する前に、AWSControlTowerExecutionロールを適切な権限と信頼関係を設定した上で手動で作成しておくことでも、本事象は回避することができます。

https://docs.aws.amazon.com/controltower/latest/userguide/enrollment-prerequisites.html

ただし、根本原因になっているCloudFormationスタックが残り続けることになるため、スタックを削除する方がベターと考えられます。

 まとめControl Tower環境への移行は、移行元が「まっさらな状態（Control Tower未経験）」か「過去の利用歴があるか」で挙動が変わります。

Internal Failure が出たら、まずはメンバーアカウントのCloudFormationスタックを確認してみましょう。

 関係資料Control Towerへの既存アカウント登録の前提条件https://docs.aws.amazon.com/controltower/latest/userguide/enrollment-prerequisites.html
AWS Control Tower アカウントの登録中に発生する AWSControlTowerExecution ロールエラーをトラブルシューティングする方法を教えてください。

https://repost.aws/knowledge-center/aws-control-tower-role-troubleshoot
AWSControlTowerExecution ロールについての説明

https://docs.aws.amazon.com/controltower/latest/userguide/awscontroltowerexecution.html
自動登録でアカウントを移動して登録する

https://docs.aws.amazon.com/controltower/latest/userguide/account-auto-enrollment.html

移行元の状態	OUに入れるだけの自動登録
Control Tower未利用	成功
Control Tower利用中	失敗

レスキューナウテックブログPublication

日本で唯一の危機管理情報を専門に取り扱う防災・BCPの専門企業、(株)レスキューナウです。当社で活躍するエンジニアの技術ブログを中心に公開していきます。

はじめに

発生した事象

移行パターンによる違い

原因：CloudFormationスタックによる「管理権限のゴースト」

動作のメカニズム

解決手順

まとめ

関係資料

Discussion