Control Tower で管理しているメンバーアカウントの、AWSアカウント名とメールアドレスを変更する

結果、Control Towerだろうがなかろうが、やることはあまり変わりませんでした
2022.05.11

はじめに

ちゃだいん(@chazuke4649)です。

AWS Control Tower にて、メンバーアカウントのAWSアカウント名とメールアドレスを変更する方法をご紹介します。

公式ドキュメント

AWSアカウント名の変更は以下です。

登録済みアカウントの名前を変更する - AWS Control Tower

メールアドレスの変更は以下です。

登録済みアカウントの E メールアドレスの変更 - AWS Control Tower

どちらもルートユーザー権限で行う必要があります。ルートユーザーとしてサインインする方法は以下です。

ルートユーザーとしてサインインする - AWS Control Tower

各AWSリソースの変更と、Control Tower側の挙動については以下記載があります。

登録済みアカウントの名前変更
各 AWS アカウントには表示名があり、アカウントのルートユーザーが AWS Billing and Cost Management コンソールで変更できます。AWS Control Tower に登録されているアカウントの名前を変更すると、その名前変更が AWS Control Tower に自動的に反映されます。アカウント名の変更の詳細については、「AWS 請求ユーザーガイド」の「Managing an AWS account」(AWS アカウントの管理) を参照してください。

メールアドレスの変更
アカウントの E メールアドレスに加えた変更は、AWS Control Tower では自動的に更新されますが、Account Factory では自動的に更新されません。
AWS Control Tower は、コンソールエクスペリエンスから求められた E メールアドレスを取得して表示します。したがって、共有アカウントおよびその他のアカウントの E メールアドレスは、変更後も常に更新され、AWS Control Tower に表示されます。
注記
AWS Service Catalog では、プロビジョニングされた製品を作成したときにコンソールで指定したパラメータが Account Factory によって表示されます。ただし、元のアカウントの E メールアドレスは変更されても、自動的には更新されません。これは、アカウントがプロビジョニングされた製品に概念的に含まれているためです。プロビジョニングされた製品とは異なります。この値を更新するには、プロビジョニングされた製品を更新する必要があります。これにより、ガバナンス体制が変更される可能性があります。

引用元)AWS Control Tower の外部でリソースを管理する場合 - AWS Control Tower

前提

  • 対象:Control Tower配下のSandboxOUに属してるAWSアカウント
  • AWSアカウント名: example から example-rename に変更することとする
  • メールアドレス: example@example.com から rename@example.com に変更することとする

やってみる

手順

  1. ルートユーザーとしてサインインする
  2. AWSアカウント名を変更する
  3. メールアドレスを変更する
  4. 変更を確認する
  5. Service Catalogを更新する

1. ルートユーザーとしてサインインする

いわゆる IAMユーザーとしてのサインイン画面から、以下リンクよりルートユーザーとしてのサインイン画面を開きます。

ルートユーザーのEメールアドレスを入力します。

Control Towerのアカウントファクトリーにてアカウントを発行後の初期設定では、強力なパスワードがデフォルトで設定されています。これを解除し、パスワードの再設定をすることによって、初めてルートユーザーが使える状態になります。

ボット対策の文字認証を行うと、対象のEメールアドレスに手順が送付され、ルートユーザーのパスワードを再設定できます。(※ここの詳細は割愛します)

パスワード再設定後、再度ルートユーザーとしてサインインを行うと、無事入ることができました。

2. AWSアカウント名を変更する

上記にてルートユーザー権限で入ったのち、「アカウント」を開きます。

「アカウント設定」のセクションにて、アカウント名が変更前であることが確認できます。ここの右上の「編集」をクリックします。

再度、メールアドレスとパスワードによる認証を求められたので入力します。

すると、アカウント設定の更新画面になりました。ここで名前(AWSアカウント名)を編集します。

新しいアカウント名として「example-rename」と入力し、変更を保存します。

無事、新しいアカウント名が保存されました。

3.メールアドレスを変更する

この流れでメールアドレスも変更してしまいます。 Eメールの編集をクリックすると、再度メールアドレスとパスワードによる認証を求められたので、入力しました。

すると更新画面が表示されたので、元のメールアドレス、新しいメールアドレスを2回、パスワードを入力します。

新しいメールアドレスに更新することができました。

4. 変更を確認する

「アカウント設定」のセクションでは、アカウント名が変更されていることを確認できました。

Control Towerコンソールのアカウントを開くと、アカウント名もメールアドレスも変更が反映されていることが確認できました。(スクリーンショットでは何のこっちゃですが...)

OrganizationsコンソールのAWSアカウント画面でも、アカウント名とメールアドレスの変更が反映されていました。

5. Service Catalogを更新する

アカウントファクトリー実行時に内部的に作成されるService Catalogの製品は、変更が反映されいないので更新します。

以下の部分で変更前のメールアドレスが登録されていることが確認できます。

プロビジョニングされた製品の「更新する」を行うと、 下図の通り、変更する項目以外も再度入力する必要がありますが、パラメータを更新することができます。 ここで、新しいAccountEmailとAccountNameを入れ、残りは元々の設定内容を入力します。

SSOユーザーについては、新しいユーザーを発行していなければ(SSOUserEmailが既に存在するSSOユーザーのメールアドレスであれば)、SSOユーザーは作成されていないので、SSOUserFirstNameとLastNameは適当な文字列で問題ありません。

更新すると、製品のステータスが変更中になりました。

しばらく経つと、更新済みとなりました。

プロビジョニング済み製品の名前は、変更後のAWSアカウント名に更新されませんでしたが、メールアドレスは更新されていることが確認できました。

作業としては以上となります。

終わりに

結果、Control Towerだろうがなかろうが、やることはあまり変わりませんでした。Service Catalogのプロビジョニング済み製品を更新することが追加されたくらいでした。

それではこの辺で。ちゃだいん(@chazuke4649)でした。