この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、臼田です。
みなさん、AWSの全体管理してますか?(挨拶
今回はよりControl Towerを柔軟に利用できるようになるアップデートの紹介です。
AWS Control Towerがサンパウロとパリで利用可能になり、リージョンの選択解除が可能になりました
概要
AWS Control TowerはAWSアカウントを管理するAWS Organizationsと連携してガバナンスを効かせるサービスです。
これまでControl Towerでは、有効化する際にガバナンスを展開するリージョンを絞り込んだり、途中で追加する機能に対応してきました。
ただ、すでに追加したリージョンからガバナンスを外すことはこれまで出来ませんでした。
今回のアップデートではすでにガバナンスを展開済みのリージョンからそれを解除することが出来るようになりました。解除が簡単に選択できるようになったため、初期の段階では利用しないけど今後利用するかも?というリージョンをわざわざ追加したりする必要がなくなりました。リージョン選定も現状の需要だけで判断できますし、リージョンを追加する際も思い決断にならずに済みます。
これは直接的に解除がサポートされただけではなく、事前や運用中の判断を迅速にするアップデートでもあります。
ただし、これまで通りリージョン選定はControl Tower配下すべてのアカウントに対して適用されるため、部分的なOUやアカウントに対して違うポリシーでリージョン選定することは出来ないので注意です。
ついでに今回のアップデートで管理対象リージョンにサンパウロとパリが追加され全15リージョン対応になりました。
やってみた
今回はすでに東京リージョンをメインリージョンとし、バージニアリージョンが追加されている環境がありますのでこれを利用してバージニアリージョンを解除していきます。
流れは有効化の際などと同じで、Control Tower全体の設定を変更した後に、各アカウントにその設定を展開する2フェーズで作業します。
まず状態を確認します。マネジメントアカウントからControl Towerのコンソールにアクセスし、ランディングゾーン設定を開きます。リージョンタプにてバージニアと東京が管理されていることが確認できます。
ランディングゾーン設定画面上部でも管理リージョン数が2つであることが確認できます。変更は「設定を変更する」ボタンから可能です。押します。
通常の有効化や設定変更の画面が開きます。この中で「ガバナンスのための追加AWSリージョン」を展開し、もともとチェックが入っていたバージニアのチェックを外して次へ進めます。
更新の確認画面でバージニアからガバナンスを削除すると確認がでます。そのまま「ランディングゾーンの更新」を押します。
更新が始まるといつもどおり60分のプログレスバーが出てきます。しばらく待ちます。
しばらくするとランディングゾーン自体は更新が完了しました。アカウント側も更新するように出るので、アカウント一覧を開きます。
通常のアカウントについては状態が「更新が利用できます」となっています。一方でControl Towerで作成されたSecurity OU配下のAuditとLog Archiveアカウントについては、Control Towerの更新と合わせてリージョン解除が反映されているようです。これを確認してみます。
Auditアカウントの詳細画面を開くとバージニアが管理対象外となっています。すでに反映が完了していますね。
一方で通常のアカウントを開くとバージニアは「混合ガバナンス」と書かれており変更が反映されていないことがわかります。変更はOU単位で行いますので、画面上部のアナウンス通りOUの詳細画面に移動します。
OU画面下部でも同様のステータスが確認できます。「OUを再登録」ボタンから再登録を開始します。
登録の確認画面がでます。色々出ますが今回はリージョン変更だけなので特に注意することもありません。再登録を開始します。
こちらも60分プログレスバーが出ますので待ちます。
しばらくするとこちらも完了します。各アカウントのステータスも登録済みに変わります。
アカウントの詳細画面を確認します。リージョンタブでバージニアが管理対象外になっていることを確認できました。これで無事リージョン解除を全体に展開できました。
まとめ
Control Towerですでにガバナンスを展開しているリージョンから、これを解除する機能が実装されました。
先述の通りいつでも解除できるのは、裏を返せばリージョンを気軽に追加できるということです。アジリティをもって構成を決定できますのでより気軽にControl Towerを活用していきましょう!
2
