[アップデート]AWS Control Towerでリージョンの選択解除ができるようになりました

[アップデート]AWS Control Towerでリージョンの選択解除ができるようになりました

AWS Control Towerで選択しガバナンスを展開したリージョンから、これを解除する機能が実装されました。リージョンの登録解除が気軽にできるようになったためこの選択に時間を置く必要がなくなりました。気軽に選定しましょう。
#AWS Control Tower
#AWS
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2021.08.04

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、AWSの全体管理してますか?(挨拶

今回はよりControl Towerを柔軟に利用できるようになるアップデートの紹介です。

AWS Control Towerがサンパウロとパリで利用可能になり、リージョンの選択解除が可能になりました

概要

AWS Control TowerはAWSアカウントを管理するAWS Organizationsと連携してガバナンスを効かせるサービスです。

これまでControl Towerでは、有効化する際にガバナンスを展開するリージョンを絞り込んだり、途中で追加する機能に対応してきました。

ただ、すでに追加したリージョンからガバナンスを外すことはこれまで出来ませんでした。

今回のアップデートではすでにガバナンスを展開済みのリージョンからそれを解除することが出来るようになりました。解除が簡単に選択できるようになったため、初期の段階では利用しないけど今後利用するかも?というリージョンをわざわざ追加したりする必要がなくなりました。リージョン選定も現状の需要だけで判断できますし、リージョンを追加する際も思い決断にならずに済みます。

これは直接的に解除がサポートされただけではなく、事前や運用中の判断を迅速にするアップデートでもあります。

ただし、これまで通りリージョン選定はControl Tower配下すべてのアカウントに対して適用されるため、部分的なOUやアカウントに対して違うポリシーでリージョン選定することは出来ないので注意です。

ついでに今回のアップデートで管理対象リージョンにサンパウロとパリが追加され全15リージョン対応になりました。

やってみた

今回はすでに東京リージョンをメインリージョンとし、バージニアリージョンが追加されている環境がありますのでこれを利用してバージニアリージョンを解除していきます。

流れは有効化の際などと同じで、Control Tower全体の設定を変更した後に、各アカウントにその設定を展開する2フェーズで作業します。

まず状態を確認します。マネジメントアカウントからControl Towerのコンソールにアクセスし、ランディングゾーン設定を開きます。リージョンタプにてバージニアと東京が管理されていることが確認できます。

ランディングゾーン設定画面上部でも管理リージョン数が2つであることが確認できます。変更は「設定を変更する」ボタンから可能です。押します。

通常の有効化や設定変更の画面が開きます。この中で「ガバナンスのための追加AWSリージョン」を展開し、もともとチェックが入っていたバージニアのチェックを外して次へ進めます。

更新の確認画面でバージニアからガバナンスを削除すると確認がでます。そのまま「ランディングゾーンの更新」を押します。

更新が始まるといつもどおり60分のプログレスバーが出てきます。しばらく待ちます。

しばらくするとランディングゾーン自体は更新が完了しました。アカウント側も更新するように出るので、アカウント一覧を開きます。

通常のアカウントについては状態が「更新が利用できます」となっています。一方でControl Towerで作成されたSecurity OU配下のAuditとLog Archiveアカウントについては、Control Towerの更新と合わせてリージョン解除が反映されているようです。これを確認してみます。

Auditアカウントの詳細画面を開くとバージニアが管理対象外となっています。すでに反映が完了していますね。

一方で通常のアカウントを開くとバージニアは「混合ガバナンス」と書かれており変更が反映されていないことがわかります。変更はOU単位で行いますので、画面上部のアナウンス通りOUの詳細画面に移動します。

OU画面下部でも同様のステータスが確認できます。「OUを再登録」ボタンから再登録を開始します。

登録の確認画面がでます。色々出ますが今回はリージョン変更だけなので特に注意することもありません。再登録を開始します。

こちらも60分プログレスバーが出ますので待ちます。

しばらくするとこちらも完了します。各アカウントのステータスも登録済みに変わります。

アカウントの詳細画面を確認します。リージョンタブでバージニアが管理対象外になっていることを確認できました。これで無事リージョン解除を全体に展開できました。

まとめ

Control Towerですでにガバナンスを展開しているリージョンから、これを解除する機能が実装されました。

先述の通りいつでも解除できるのは、裏を返せばリージョンを気軽に追加できるということです。アジリティをもって構成を決定できますのでより気軽にControl Towerを活用していきましょう!

Share this article

facebook logohatena logotwitter logo

関連記事

[Tips] AWS Control Towerのコントロールが関連付けされたOUを簡単に削除する方法

[Tips] AWS Control Towerのコントロールが関連付けされたOUを簡単に削除する方法

User avatar
あしざわ
2024.09.30
Control Tower 管理 CloudTrail をオプトアウトして CloudWatch Logs コストを削減

Control Tower 管理 CloudTrail をオプトアウトして CloudWatch Logs コストを削減

User avatar
川原征大
2024.09.19
[アップデート] AWS Control TowerのOUに最大1000個のアカウントが含められるようになりました

[アップデート] AWS Control TowerのOUに最大1000個のアカウントが含められるようになりました

User avatar
武田隆志
2024.08.31
AWS Control Tower のコントロール一覧をCSV化してみる【AWS CLI】

AWS Control Tower のコントロール一覧をCSV化してみる【AWS CLI】

User avatar
川原征大
2024.08.13
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.