AWS Control Tower に登録されている AWS アカウントを OU 間で移動して失敗したときの修正方法を確認してみた

AWS Control Tower 管理配下の AWS アカウントを OU 間で移動させるときに正規の移動手順をとらずに「登録に失敗しました」となったときの修正方法を確認してみました。

正しいアカウント移動方法は？

Control Tower 管理配下の AWS アカウントを OU 間で移動させるためにはService Catalog からの操作が必要です。詳しい移動手順は以下のリンクをご確認ください。

誤ってOrganizationsからOUを移動してしまった場合は、Service CatalogからOU移動の手順を実施しましょう。

Control Tower配下のAWSアカウントを別OUに移動してみた | DevelopersIO

上記ケースの確認を取りたかったのでエラーを再現し復旧までを確認してみます。

ダメなアカウント移動方法で失敗

Sandbox OU 直下にあるアカウントを Nested Test 2 OU 配下へ移動します。

Organizaions から対象のアカウント（Sandbox2）を選択してアカウントを移動してみます。

Organizaions の画面ではアカウントの移動に成功した様に見えます。

しかし、Control Tower の組織画面から確認すると OU の移動は成功していますがControl Tower の登録に失敗しています。

詳細をクリックすると以下のメッセージが右ペインに表示されました。

この後の修正作業でアカウント ID が必要になります。アカウント移動に失敗したアカウントの ID をメモしておきます。

修正してみる

Service Catalog からプロビジョニングされた製品を開きます。

アカウント ID で検索して開き、アクションから更新を選択します。すると、Account Factory からアカウントを新規発行するのと同じ入力項目が求められます。正規の OU 間の移動手順でも同様です。改めて各項目を入力します。OU の指定はすでに移動済みでありますがもう一度移動先の OU を指定します。

更新をかけると Control Tower の登録処理に10分弱かかり、登録に失敗していたアカウントが正常に登録されました。

Organizaitions からアカウントを移動して Contorol Tower の登録処理に失敗したアカウントは Service Catalog から改めてパラメーターを入力し更新することで修正できることを確認できました。

おわりに

うっかり Organizations からアカウントを移動してしまっても復旧方法があるだけよかったです。Control Tower 管理の場合は Service Catalog からアカウントを移動する手順が正しいのでお気をつけください。

参考

• Control Tower配下のAWSアカウントを別OUに移動してみた | DevelopersIO