AWS CloudFormation StackSetsの自動デプロイはターゲットOU間なら移動しても影響なし

どうも、ちゃだいん（@chazuke4649）です。

AWS CloudFormation StackSetsの自動デプロイメントは、CloudFormationテンプレートの自動適用手法としてシンプルで有用です。
ターゲットにOUを指定すれば、デプロイ対象を絞ることもできます。

ただし、そのような構成の場合、AWSアカウントのOU移動を行うと、デプロイされたスタックがどうなるのか、作り直しとかにならないか不安だったりします。

それは果たしてそうなのか？検証してみました。

先に結論

というか記事タイトルに結論書いてるんですが、改めて書いておきます。

• AWS CloudFormation StackSetsの自動デプロイはターゲットOU間なら移動しても影響なし

検証してみた

現状の構成図は以下の通りです。

StackSetsのターゲットOUは、CherryOUです。
その配下にAWSアカウントがぶら下がっており、スタックインスタンスが作成されています。

この状態で、AWSアカウントをCherryOUからDatesOUに移動した場合、スタックインスタンスは削除されます。

スタックインスタンスを削除したくない場合、どうすればいいでしょうか？

解決方法は、移動先のOUをデプロイターゲットに含めることです。

では、以下の図のように、 アカウントの移動前に移動先のOUをターゲットOUに追加し、その上でアカウントを移動させてみます。

まずは、「StackSetsにスタックを追加」にて、デプロイターゲットに移動先のOU DatesOU を追加します。

続いて、AWSアカウントをDatesOUに移動させます。

すると、StackSetsのスタックインスタンス画面では、一瞬だけ当該スタックインスタンスがPending状態になりますが

Succeeded状態に戻り、スタックインスタンスは作り直しにならず、そのままの状態で移動させることができました。

おわりに

AWS CloudFormation StackSetsの自動デプロイ適用時におけるアカウントのOU移動の１パターンを試してみました。
OU移動によりスタック/リソースの削除をさせたくない場合は、移動先のOUもデプロイターゲットに追加しましょう。

それでは今日はこの辺で。ちゃだいん（@chazuke4649）でした。