![[AWS Control Tower] 大阪リージョンがサポート対象になったので運用中の環境に対して有効化してみた](https://devio2023-media.developers.io/wp-content/uploads/2022/08/aws-control-tower.png)
[AWS Control Tower] 大阪リージョンがサポート対象になったので運用中の環境に対して有効化してみた
こんにちは!丸屋 正志(Maruya Masashi) です。
今日もブロックを掘ったり積み上げたり匠に壊されたりしていますか?
はじめに
AWS Control Tower で大阪を含む7つのリージョンが追加サポート対象になったのは嬉しいけども、有効化するにあたり・・・どのような事をすれば良いのか不明だったので試してブログ化してみました。
前提条件
ランディングゾーンにて大阪リージョンを追加する際には、予めメンバーアカウント内にて下記の事項を必ず確認しましょう。
- 大阪リージョンで デフォルトVPC を活用しているサービスはありますか?
- 活用している場合は、一旦別の VPC に向ける検討をしましょう
- 大阪リージョンで AWS Config のレコーダーや独自ルール は適応していますか?
- 適応している場合は、事前にエクスポート等をしておきましょう
当方の検証環境のツリー構造
- Root
- sampleOU
- SecurityOU
- [アカウント] Audit
- [アカウント] Log Archive
- TestControlTowerOU
- WorkloadOU
- [アカウント] テスト10
- [アカウント] テスト11
- [アカウント] テスト1
- [アカウント] テスト2
- [アカウント] テスト3
- WorkloadOU
- [アカウント]管理アカウント
注意事項
大阪リージョン等を追加した際に、SecurityOU 配下の Audit や Log Archive などには自動で AWS Config 等の StackSet が適応されますが、メンバーアカウントに対しては管理アカウント側から別途手動で更新を実施する必要があります。
大阪リージョンを管理対象に追加
下記の URL から、AWS Control Tower ページにアクセスし 【ランディングゾーン設定】 の 【設定を変更する】 をクリックします。 (※ 別リージョンの場合は、 【AWSコンソール】→【AWS Control Tower】→【ランディングゾーン設定】 という順でアクセスします。)
Step 1 : リージョン設定を更新
ガバナンスのための追加リージョンを選択
大阪リージョン等を選択し 【次へ】 をクリックします。 ※ 歯車マークで50項目に変更 or 3ページ目に大阪リージョン等が存在します
Step 2 : 設定を更新
特に変更せずに 【次へ】 進みます。
Step 3 : ランディングゾーンを確認して更新
ガバナンスのための追加 AWS リージョン
希望するリージョンが追加されいてる事を確認し、画面下辺の 【ランディングゾーンの更新】 をクリックします。
Step 4 : 更新完了待ち
緑色になるまで待ちます。 ※ 大体40~50分前後ほど掛かります
Step 5 : ランディングゾーン設定の確認
下記のURLから、AWS Control Towerページにアクセスし【ランディングゾーン設定】の『リージョン』タブから状態欄にて 管理対象 となっている事を確認します。
(※ 別リージョンの場合は、【AWSコンソール】→【AWS Control Tower】→【ランディングゾーン設定】→『リージョン』という手順でも可能です)
メンバーアカウントの更新作業
下記の URL から、AWS Control Tower ページにアクセスし【組織】をクリックします。 (※【AWSコンソール】→【Control Tower】→【組織】という手順でも可能です)
Step 1 : 更新対象アカウントの選択
状態欄にて 更新が利用できます と表示されているメンバーアカウントを選択し 【アクション】 から 【更新】 をクリックします。
※ 組織直下に対して一括で更新する際には Q&A をご参照ください。
Step 2 : 更新の実施
アカウントの更新画面にて、特に変更せず画面下辺の 【アカウントの更新】 をクリックします。
ポップアップ画面にて再度、 【アカウントの更新】 をクリックします。
Step 3 : 更新完了待ち
上記のStep1 ~ Step 2をアカウント個分を繰り返し実行し、状態欄を 登録中 にします。
※ 一度に最大5個までの変更を実施することが可能です。
20~30分ほど待ちますと、メンバーアカウントの状態欄が 登録済み に変更されます。
以上で、AWS Control Tower にて運用中の環境に対して大阪リージョン等の有効化方法でした。
Q&A
Q, AWS Control Tower の組織ページの【組織単位を再登録】を用いて一括の更新は可能でしょうか?
A, 可能ですが注意点などがあります。
- 注意点1 ) 対象 OU 直下の全てのメンバーアカウントに対して強制的に更新が実施されます。
- 注意点2 ) 下記のツリー構造で、TestControlTowerOU に対して【組織単位を再登録】を実施しますと、[アカウント] テスト1、2、3のみに実施されます。
- [アカウント] テスト10、11にも実施したい場合、WorkloadOU に対しても【組織単位を再登録】を実施する必要があります。
『ツリー構造例』
- Root
- sampleOU
- SecurityOU
- [アカウント] Audit
- [アカウント] Log Archive
- TestControlTowerOU
- WorkloadOU
- [アカウント] テスト10
- [アカウント] テスト11
- [アカウント] テスト1
- [アカウント] テスト2
- [アカウント] テスト3
- WorkloadOU
- [アカウント]管理アカウント
Q, [パターン1] 更新をしようとしたら下記のエラーが出ました、どうしたら良いですか?
AWS Control Tower はアカウントを登録できませんでした: AWS Control Tower cannot grant an AWS Config aggregation authorization permission for the aggregator account in region ap-northeast-1 because one already exists. To continue, delete the existing aggregation authorization permission and try again.
A, 対象のメンバーアカウントにて既に大阪リージョン(北カリフォルニア)にAWS Configが有効化されている場合がありますので、無効化し再度更新を実施してください。
Q, [パターン2] 更新をしようとしたら下記のエラーが出ました、どうしたら良いですか?
AWS Control Tower cannot create resource aws-controltower-BaselineConfigRecorder because it already exists in stack arn:aws:cloudformation:ap-northeast-3:メンバーアカウントID:stack/独自StackSet名. To continue, delete arn:aws:cloudformation:ap-northeast-3:メンバーアカウントID:stack/独自StackSet名 from Amazon CloudFormation and try again.
A, 対象メンバーアカウントの大阪リージョンのCloudFormationスタックにて aws-controltower-BaselineConfigRecorder という同名リソースがありますので、削除し再度更新を実施してください。
Q, 全体の作業で大体どれくらいの時間が掛かりますでしょうか?
A, 約1.5時間ほど掛かります。
さいごに
ついに大阪リージョンがサポートされたことで、今まで別途対応していた手順などを廃止出来て嬉しいです!
また、AWS Summit 2023 で大阪リージョンのシールをゲット出来たので、こちらのブログを頑張れました。(キーホールダーは来年当てます!!!!)
![[Tips] AWS Control Towerのコントロールが関連付けされたOUを簡単に削除する方法](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-fff4d7e7c3509d1ffcc67578673c5f00/056494cb8aea27071cd8ed8a870bda83/aws-control-tower)
