AWS IAM Identity Center の設定を削除してみた

2023.05.01

AWS Verified Access を試したく、既存の AWS IAM Identity Center 検証環境の設定を削除する機会がありました。頻繁にやる作業ではないので、そのときのキャプチャなどをブログと共に残したいと思います。

「IAM Identity Center の設定を削除」を試してみた

削除前にユーザーガイドを確認しました。設定の全データが削除される旨の記載があります。

IAM アイデンティティセンターの設定が削除されると、設定の全データは削除され、復元できません。

引用元:AWS IAM Identity Center (successor to AWS Single Sign-On) が利用可能なリージョン - AWS IAM Identity Center (successor to AWS Single Sign-On)


早速、削除しようとすると、委任先アカウントの登録があるため削除できないと注意されました。


委任先アカウントの登録解除

委任登録を解除します。「設定」の「管理」タブからアカウント登録を解除できます。

なお、上記の画像では、一時的に委任の検証をしたいと思い、Audit アカウントを委任先にしていますが、実際に委任する場合は AWS IAM Identity Center 専用もしくは共通インフラ用のアカウントに委任することが多いのではないかと思います。AWS IAM Identity Center の委任先の検討には、AWS が公開している SRA (Security Reference Architecture) が参考になります。


委任登録を解除します。

解除後は委任先アカウント情報が表示されなくなります。


設定の削除

改めて、AWS IAM Identity Center 設定を削除します。

各チェック項目を確認後に「確認」で削除を実行します。

以上で削除完了です。AWS IAM Identity Center の有効化前の状態に戻りました。


AWS IAM Identity Center の設定削除の影響

AWS IAM Identity Center の設定を削除したことの影響について気になった点を確認してみました。全てを網羅できてはいませんが、削除前の参考になると思います。


作成し直すと ID ストア ID は変わる

AWS IAM Identity Center を別のリージョンで再度有効化したところ、ID ストア ID は異なる値となりました。


削除前と同じ AWS アクセスポータルの URL は設定できる

削除前と同じ AWS アクセスポータルの URL は設定できました。マスキングしていますが、削除前と同じ文字列を設定しています(ID ストア ID ではない文字列です)。


AWS Control Tower の設定と不整合が生じる

AWS IAM Identity Center を削除すると、ユーザーやグループも削除されます。

そのため、AWS Control Tower 環境の場合は、AWS Control Tower が作成したユーザーとグループも全て削除されます。AWS IAM Identity Center を再有効化した場合でも削除されたままでした。

ユーザーガイドには「AWS Control Tower によって作成されたリソースを変更または削除しないでください」との記載があるため、AWS IAM Identity Center は削除しないほうがよさそうです。


また、AWS Control Tower の「ユーザーとアクセス」画面で不整合が生じます。上述した内容と被りますが「ID ストア ID」が変わることでマネジメントコンソール上で表示されている ID と実際の ID が異なる値となります。「IAM Identity Center で表示」をクリックしてもアクセスできなくなります。

さいごに

AWS IAM Identity Center の設定を削除する機会があったため、その流れと気になった点をブログ化してみました。

このブログがどなたかのご参考になれば幸いです。