![[Control Tower]「No launch paths found for resource: prod-xxxxx」というエラーが出たときの対応](https://devio2023-media.developers.io/wp-content/uploads/2023/08/aws-control-tower.png)
[Control Tower]「No launch paths found for resource: prod-xxxxx」というエラーが出たときの対応
2024.04.10アノテーション 顧客推進チーム(構築担当)のいたくらです。
Control Tower で既存メンバーアカウントを Control Tower に登録しようとした際に、タイトルにあるエラーが出る場合があります。
この場合にどういった対応をすれば解消するかをまとめました。
はじめに
Control Tower のランディングゾーンを設定後、組織に属する既存メンバーアカウントを Control Tower に登録すると思います。
その際に、以下のようなエラーが出る場合があります。
エラー内容はこちらです。
このエラーを解消する対応を紹介します。
前提
- Control Tower のランディングゾーンは設定済み
- 既存メンバーアカウントの Control Tower 登録作業は、IAM Identity Center(以降 IIC と表記)ユーザで実施する
- 許可セット「AdministratorAccess」を作成して、管理アカウントに対して割り当て済み
- 許可する AWS マネージドポリシー: AdministratorAccess
結論
Control Tower 登録作業を実施する IIC ユーザが使用する許可セットに対応する IAM ロールが、AWS Control Tower Account Factory Portfolio にアクセスできるように設定します。
参考: トラブルシューティング - AWS Control Tower
やってみた
実際に管理アカウント上で設定してみました。
Step1 : AWS Service Catalog での設定
AWS Service Catalog のサービスページに移動します。
ポートフォリオの一覧から、AWS Control Tower Account Factory Portfolio をクリックします。
先ほどのエラーメッセージに記載されていた製品 ID(prod-xxxxx)が一致していることを確認します。
「アクセス」タブをクリックして、「アクセス権の付与」をクリックします。
アクセスタイプが IAM Principal であることを確認します。
「ロール」タブをクリックし、検索欄に sso と入力して、AWSReservedSSO_ から始まるロールをクリックします。
※ Control Tower への登録作業をする IIC ユーザが、許可セット「AdministratorAccess」を使用するため、AWSReservedSSO_AdministratorAccess_ から始まるロールを選択しています
最後に「アクセス権を付与」をクリックします。
画面を更新し、「アクセス」タブに先ほど追加した IAM プリンシパル(ロール)が表示されていれば OK です。
Step2 : Control Tower で登録を実施
AWS Control Tower のサービスページに移動します。
「組織」画面にて、登録したいアカウントを選択し、アクションから「登録」をクリックします。
先ほどまで表示されていたエラーが消えたことが確認できます。
この状態で「アカウントの登録」を進めましょう。
【注意】
「アカウントの登録」をクリックする前に、下記項目をクリアしているか確認してください。
- AWSControlTowerExecution ロールを作成しているか
- 管理対象リージョンの AWS Config を無効化 (設定レコーダー・配信チャネルがない) しているか
- サポートするすべてのリージョンの AWS STS を有効化しているか
参考: AWS-Black-Belt_2023_AWS-ControlTower-Procedures_0831_v1.pdf → 46 ページ参照
あとがき
Control Tower のランディングゾーン設定時の「AWS アカウントアクセス設定」で、IAM Identity Center またはその他の方法によるセルフマネージド型 AWS アカウントアクセス を選択した場合は、このアクセス権の付与が必要になるのでお気を付けください。
この記事がどなたかのお役に立てれば幸いです。
アノテーション株式会社について
アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。
サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。
![[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail)
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
