Control Tower が作った IAM Identity Center グループを消しても問題無いか確かめる
【2023/03/02追記】 公式ドキュメント AWS Control Tower リソースの作成と変更に関するガイダンス に 『AWS Control Tower によって作成されたリソースを変更または削除しないでください』と記載されております。 本検証では問題ありませんでしたが、少なくとも現状は自己責任で実施ください。
AWS Control Tower を有効化すると、IAM Identity Center(旧称: AWS SSO) に以下のようなグループ(および割り当て)が作られます。
| グループ名 | 割り当て(許可セット) | 割り当て(アカウント) |
|---|---|---|
| AWSAccountFactory | AWSServiceCatalogEndUserAccess | 管理アカウント |
| AWSServiceCatalogAdmins | AWSServiceCatalogAdminFullAccess | 管理アカウント |
| AWSControlTowerAdmins | AWSAdministratorAccess | 管理/ログアーカイブ/監査 アカウント |
| AWSControlTowerAdmins | AWSOrganizationsFullAccess | メンバーアカウント |
| AWSSecurityAuditPowerUsers | AWSPowerUserAccess | 管理/ログアーカイブ/監査/メンバー アカウント |
| AWSSecurityAuditors | AWSReadOnlyAccess | 管理/ログアーカイブ/監査/メンバー アカウント |
| AWSLogArchiveAdmins | AWSAdministratorAccess | ログアーカイブアカウント |
| AWSLogArchiveViewers | AWSReadOnlyAccess | ログアーカイブアカウント |
| AWSAuditAccountAdmins | AWSAdministratorAccess | 監査アカウント |
グループや許可セット、割り当てを作成する手間が省けるのでメリットではあります。
しかし、自前でグループや権限の設計をしている場合は、正直ノイズになります。 特に Account Factory から新規アカウントを生成した時に、以下割り当てが作られる部分のノイズが大きいです。
| グループ名 | 割り当て(許可セット) | 割り当て(アカウント) |
|---|---|---|
| AWSControlTowerAdmins | AWSOrganizationsFullAccess | メンバーアカウント |
| AWSSecurityAuditPowerUsers | AWSPowerUserAccess | メンバー アカウント |
| AWSSecurityAuditors | AWSReadOnlyAccess | メンバー アカウント |
できればこれらグループを削除したいです。 が、削除した際に Control Tower のランディングゾーンのドリフトが出ることを気にしています。 2023/02/22 時点、ドキュメントを探しても「消すことの影響」を見つけられなかったので、実際に試してみます。
(前提) 今回試した際の Control Tower のランディングゾーンのバージョンは 3.0 です。また、IAM Identity Center のIDストアは 「Identity Center ディレクトリ」を使っています。
試したこと
Control Tower が有効化された環境で以下 3グループを削除します。
- AWSControlTowerAdmins
- AWSSecurityAuditPowerUsers
- AWSSecurityAuditors
その後、Account Factory から新規アカウントを生成します。 生成の際に必要なパラメータ: アクセス設定 (IAM Identity Center ユーザー) は「AWS Control Tower Admin」としました。 ※ AWS Control Tower Admin は Control Tower 有効化時に自動生成される特権ユーザー
結果
問題なく新規アカウント生成できました。
念の為 CloudTrailで sso.amazonaws.com 周りのイベントでエラーが出ていないか確認しましたが、 特にエラーは無かったです。
結果として、Account Factory 生成時の IAM Identity Center の更新としては、 以下の【「AWS Control Tower Admin」への割り当て】のみに抑えられました。
補足: その後試したこと
検証後に以下を試していましたが、特に問題なく実行できています。
- 特定メンバーアカウントの Control Tower 管理を解除
- Control Tower ランディングゾーンを 3.0 から 3.1 に更新する ( 3.1 に関する情報は こちら )
おわりに
気になったので試してみました。
IAM Identity Center で自動でグループ作成、割り当て作成してくれるのは便利機能ですが、 がっつりカスタマイズしたい人から見るとやはりノイズになります。
検証した限りではグループを削除しても問題なさそうです。 ノイズを減らすために削除を検討しても良いかも知れません。
![[Tips] AWS Control Towerのコントロールが関連付けされたOUを簡単に削除する方法](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-fff4d7e7c3509d1ffcc67578673c5f00/056494cb8aea27071cd8ed8a870bda83/aws-control-tower)
