AWSアカウントを閉鎖する前に見るチェックリスト
こんにちは、AWS事業本部 コンサルティング部の荒平(@0Air)です。
プロダクト終了や一時検証用に作成した場合など、使い終わったAWSアカウントはどうしていますか?
利用していないAWSアカウントは、放置することで不正利用のリスクがあるかもしれません。
様々な事情でAWSアカウントを削除したいケースがあり、今回はアカウント閉鎖前に確認する事項をまとめてみます。
チェックリストをまとめるにあたり、公式ドキュメントをベースとして引用しています。
公式ドキュメントは以下:
前提
- リストは予告なく更新する場合があります
- AWSアカウントを閉鎖すると、申請から90日以内に永久に閉鎖され、その後は取り戻すことができません
- AWSアカウントリセラーをご利用の場合は、閉鎖時の処理について異なる場合がありますので、別途お使いのリセラーにお問い合わせください
チェックリスト
アカウント閉鎖の申請を行う前に、確認したいことの一覧です。一覧の後に詳細が続きます。
No | カテゴリ | 内容 |
---|---|---|
1 | 請求 | アカウント内に未払いの請求書、リザーブドインスタンスおよびSaving Plansが残っていないか |
2 | 保全 | 引き続き利用するデータがある場合は、そのバックアップを取得したか |
3 | 保全 | AWS Supportの問い合わせ履歴を保全したか(必要な場合) |
4 | 保全 | 過去のAWS利用料金を保全したか(必要な場合) |
5 | 保全 | 監査に必要な操作ログを保全したか(必要な場合) |
6 | 関連付け | アカウントのプライマリメールアドレスを変更したか(メールアドレスを再利用する場合) |
7 | 関連付け | ハードウェア TOTP(Time-based One-Time Password)を非アクティブ化したか |
8 | 組織 | 【Organizationsの場合のみ】30日間で閉鎖したアカウントが全体の10%を超えていないか |
9 | 組織 | 【Organizationsの場合のみ】Control Towerアカウントの登録を解除したか |
10 | サービス | AWS Marketplaceのサブスクリプションをすべてキャンセルしたか |
11 | サービス | Amazon Registrar(Route 53)で取得したドメインがないか |
12 | サービス | 閉鎖するアカウントのKMSキーを利用して証跡を暗号化していないか |
13 | 課金 | AWSの請求書を確認し、意図しないリソース課金が発生していないか |
詳細
1. アカウント内に未払いの請求書、リザーブドインスタンスおよびSaving Plansが残っていないか
未払いになっているAWS利用料金や、RI/SPの支払いがないか確認しましょう。
特にRI/SPについて、購入しているものの残期間が残っている場合は、期間満了まで利用を続けるか、Reserved Instance Marketplace (※)での販売、アカウントそのものの転用を考えると損失が少なそうです。
※ Reserved Instance Marketplaceについて:
使用していないRIをAWS利用者間で売買できるサービス。販売者として登録するには、執筆時点で米国の住所が必要なのでややハードルが高いですが、日本でも使えるようになれば、便利そうです。
なお、現在は日本のAWSリセラーは利用制限がある場合が殆どだと思われます。
2. 引き続き利用するデータがある場合は、そのバックアップを取得したか
必要なデータがある場合は、ローカルや他のAWSアカウントなどに保管しておきましょう。
以下は、バックアップを取得する必要のある標準的なサービスの例です。
- Amazon EC2
- Amazon S3
- Amazon EFS
- Amazon EBS
- Amazon RDS, Aurora
- Amazon DynamoDB
- Amazon DocumentDB
- Amazon Neptune
- Amazon FSx
- AWS CloudFormation (構成情報)
- Amazon Lightsail
アカウント閉鎖前に、SSH/SCP、AWS CLIなどを利用して必要なデータは退避しましょう。
3. AWS Supportの問い合わせ履歴を保全したか(必要な場合)
AWS サポートを利用していた場合、問い合わせた内容と回答は保管しておくことをおすすめします。
(再度、同様の内容を問い合わせる手間が減るかも知れません)
なお、コンソールでのサポートケースの履歴は作成後24ヶ月となっており、それより前のやり取りは確認できません。
メールでも内容は確認できるので、メールの保全も検討しましょう。
AWSリセラー経由(Partner-Led)のサポートを受けている場合は、各パートナーの規約や保管期間に従います。
4. 過去のAWS利用料金を保全したか(必要な場合)
AWSのご利用料金は基本的にメールでも届きますが、別途分析などで利用する想定がある場合は、ダウンロードしておく必要があります。
AWS Cost and Usage Reports (CUR)を利用している場合は、閉鎖するAWSアカウントのS3バケットから退避しましょう。
過去の請求情報に関しては、アカウント閉鎖申請から完全閉鎖までの90日間であれば、確認することができます。
5. 監査に必要な操作ログを保全したか(必要な場合)
検証環境のクローズだと不要かもしれませんが、AWS CloudTrailの操作証跡は保全しておくことが望ましいです。
個人的には不正アクセス禁止法の公訴時効が3年なので、それに併せて3年間、他のAWSアカウントやローカルのNASに保管しておくと良いと考えます。
その他、企業のポリシーに沿った操作ログ・アクセスログ、アプリケーションログをダウンロードしておきましょう。
AWSアカウントの閉鎖申請後は確認することができなくなります。
6. アカウントのプライマリメールアドレスを変更したか(メールアドレスを再利用する場合)
AWSアカウントの閉鎖申請時に設定されていたプライマリメールアドレス(Rootユーザーのメールアドレス)は、別のAWSアカウントのプライマリメールアドレスとして設定することができません。
一度アカウントを閉鎖してから別のアカウントでも同じメールアドレスを利用したい場合は、閉鎖申請前にメールアドレスを変更することが望ましいです。
なお、AWSリセラー経由のアカウントの場合、Rootのメールアドレスはユーザー管理ではないのでこの項目は無視できます。
メールアドレスを変更する場合:
7. ハードウェア TOTP(Time-based One-Time Password)を非アクティブ化したか
多要素認証(MFA)にハードウェアのTOTPを利用している場合、非アクティブ化しないままアカウントが完全に閉鎖されると他のAWSアカウントでそのハードウェアTOTPは利用できなくなります。
閉鎖申請から完全閉鎖までの間にMFA利用が必要な場合でも、完全閉鎖までには忘れずに解除しましょう。
MFAデバイス無効化手順:
8. 【Organizationsの場合のみ】30日間で閉鎖したアカウントが全体の10%を超えていないか
Organizationsご利用の環境において、30日の間に閉鎖できるメンバーアカウントは全体の10%未満と定められています(組織内のアカウントが100未満の場合は10アカウントを閉鎖できます)。
該当するケースは多くないと思いますが、大量にAWSアカウントを閉鎖したい場合はこのクォータに引っかからないか注意が必要です。
AWS Organizationsのクォータ:
9. 【Organizationsの場合のみ】Control Towerアカウントの登録を解除したか
OrganizationsとControl Towerご利用の環境において、メンバーアカウントを管理下においたままアカウントを閉鎖することができません。
AWS Control Towerにてアカウント登録を解除すると、対象のAWSアカウントがControl Tower OUからルートOUに移動され、アカウントが閉鎖できるようになります。
アカウントの解除手順:
10. AWS Marketplaceのサブスクリプションをすべてキャンセルしたか
AWS Marketplaceで購入したサブスクリプションは、アカウントを閉鎖したとしても自動的にキャンセルされません。
コンソールから明示的にサブスクリプションをキャンセルする必要があります。
課金が発生しているサブスクリプションについては、請求書から確認できます。
インスタンスの終了手順:
製品サブスクリプションのキャンセル:
11. Amazon Registrar(Route 53)で取得したドメインがないか
AWSアカウント閉鎖の申請から5日間、毎日ドメイン停止についての通知が届きます。
30日後に閉鎖アカウント内にあるAmazon Registrarのすべてのドメインが削除されます。
閉鎖申請から90日の間にアカウントを再開した場合、ドメインの停止が解除されるか、復元できる可能性について通知されます。
ドメインの自動更新についてはドキュメントに記載がなかったのですが、閉鎖申請からAWSアカウントが完全に削除されるまでの間に更新タイミングがある場合は、自動更新を切っておいたほうが良さそうです。
なお、ドロップキャッチされて困るドメインの場合は、別アカウントに移管するなど検討しましょう。
12. 閉鎖するアカウントのKMSキーを利用して証跡を暗号化していないか
設定していることは稀だと思いますが、閉鎖予定のアカウントにあるAWS KMSキーを使用して証跡をSSE-KMS暗号化している場合、このKMSキーは利用できなくなるため、同時にログファイルへのアクセスもできなくなります。
No.5と同様に、証跡をダウンロードしたうえで、ログファイルの SSE-KMS 暗号化を無効化しましょう。
コンソールで KMS キーを使用するようにリソースの更新する手順:
13. AWSの請求書を確認し、意図しないリソース課金が発生していないか
アカウントの閉鎖申請の時点で、一部のリソースを除きオンデマンドの課金が停止します。
しかし、AWSアカウントリセラーを経由している場合は、AWSへの実際の閉鎖申請まで時間を要すことがあるので、自身でリソースを削除することが望ましいです。
Amazon EC2のスナップショット、S3に格納されたログなどはよく忘れがちなので、容量の大きいものがあれば忘れずに削除しておきましょう。
AWS アカウントで不要になったアクティブなリソースを終了するには:
おわりに
AWSアカウントの利用終了についてお問い合わせがあったので、改めてまとめてみました。
特にドメインの取り扱いについては気を付けないと事故の原因となるので、短期間でクローズするAWSアカウントではドメイン取得せず、使い続けるアカウントで取得してサブドメインを渡す方式を検討しましょう。
また、サブスクリプションの明示的なキャンセルが必要なことは今回初めて知ったので、これは注意したいですね。
このエントリが誰かの助けになれば幸いです。
それでは、AWS事業本部 コンサルティング部の荒平(@0Air)がお送りしました!
参考