OU 移動前の準備作業 - AWS Organizations SCP 編

こんにちは、クラウド事業本部 コンサルティング部のいたくらです。

はじめに

諸事情により AWS アカウントが所属する OU を移動（変更）したいときがあると思います。
加えて、いまアカウントが所属している OU にアタッチしている SCP が存在して、なおかつ SCP による統制は効かせた状態で OU 移動（変更）したいという要件もあったりすると思います。
ということで、今回は OU 移動前の準備作業 - AWS Organizations SCP 編 を紹介します。

前提

検証環境について補足します。

• AWS Organizations > ポリシー にて、サービスコントロールポリシーが有効になっている
  
• AWS Control Tower が有効になっている
• 移動元 OU（TestOU）と移動先 OU（今回は NewTestOU > TestOU）は Control Tower に登録済み
  
• 移動元 OU（TestOU）にはカスタム SCP（test-scp）がアタッチ済み
  

やってみた

移動先 OU にカスタム SCP をアタッチする

移動先 OU（NewTestOU 配下の TestOU）にカスタム SCP（test-scp）をアタッチします。

まず、AWS Organizations > AWS アカウントに移動します。
NewTestOU 配下の TestOU をクリックします。

「ポリシー」タブ > サービスコントロールポリシーの「アタッチ」の順にクリックします。

カスタム SCP（test-scp）を選択し、「ポリシーのアタッチ」をクリックします。

正常にアタッチできていれば OK です。

AWS アカウントを移動する

AWS Organizations > AWS アカウント に移動します。
移動したいアカウントを選択し、「アクション」から「移動」をクリックします。

移動先 OU を選択し、「AWS アカウントを移動」をクリックします。

以下のようなメッセージが表示されていれば移動は完了です。

Control Tower 側で再登録する

AWS Control Tower > 組織 に移動します。
NewTestOU 配下の TestOU に移動していることを確認します。
移動は完了していますが、登録に失敗しています。アカウント名をクリックして詳細を確認します。

理由を確認すると、「登録済みのアカウントが別の OU に移動されたことによりアカウントの状態が不整合なため」と記載がありました。対処方法として、「親 OU が登録済みの場合は、OU を再登録するか、AWS Service Catalog でアカウントを更新してください」と記載があるので、OU の再登録を実施します。

NewTestOU 配下の TestOU の詳細画面に移動します。
アクション > 「OU を再登録」をクリックします。

OU を再登録のページに表示される注意事項をよく読み、最後に利用規約への同意にチェックを入れて、「OU を再登録」をクリックします。

再登録完了まで少し待ちます。

私の環境では、5分くらいで再登録が完了しました。

さいごに

OU 移動前の準備作業 - AWS Organizations SCP 編 の紹介でした。
Control Tower を有効にしている環境の場合、OU 移動が発生したら都度再登録が必要となることを忘れないように気を付けたいと思いました。

この記事がどなたかのお役に立てれば幸いです。