Control Tower配下のAWSアカウントを別OUに移動してみた

Control TowerのOU移動はOrganizationsと手順が違うので注意しましょう!

鈴木純

2022.05.17

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

現在ではアップデートによりControl Towerのコンソール上からOUの移動が可能となっています。

本記事はアップデート前のものとなりますので、今後は以下の記事をご参照ください。

[アップデート] Control Tower 管理下でのAWSアカウントのOU移動が簡単になっていた

Organizations上ではOU移動は簡単にできるのですが、Control Tower配下だとちょっと手順が変わるので確認してみました。

やってみる

以下公式ドキュメントに沿って実施していきます。

AWS Service Catalog で Account Factory アカウントを更新して移動する

登録に必要な情報の確認

Control Towerのアカウント情報の変更はService Catalogから実施する必要があります。 Service Catalog で新しい製品をプロビジョニングする権限を持つユーザー(AWSAccountFactory グループまたは AWSServiceCatalogAdmins グループの AWS SSO ユーザー等)でサインインして、Service Catalog コンソールのナビゲーションバーからプロビジョニングされた製品を開いてください。

管理されているAWSアカウントの一覧が表示されるので、OUを移動させたいAWSアカウントをクリックします。表示されない場合は右上のアクセスフィルターを変更してみてください。

OUの移動にはAWSアカウントの情報が必要となるため、以下のパラメータを確認します。

イベントタブから PROVISION_PRODUCT というイベントを確認しましょう。ここのSSOUserEmailAccountEmailは後ほど利用するので控えておいてください。

OUの移動

それでは実際にOUを移動していきます。AWSアカウントの詳細画面で、右上にあるアクションから更新をクリックします。

すると以下のパラメータの入力が求められるので、それぞれ入力していきます。

  • AccountEmail
    • 先ほど控えたAccountEmailを入力
  • AccountName
    • OU移動するアカウント名を入力
  • ManagedOrganizationalUnit
    • 移動先のOUをプルダウンから選択
  • SSOUserEmail
    • 先ほど控えたAccountEmailを入力
  • SSOUserFirstName
    • 既存SSOユーザーの名
  • SSOUSerLastName
    • 既存SSOユーザーの性

SSOUserFirstNameSSOUSerLastNameについては既存のSSOユーザーを入力してください。(新しい名前を入力した場合はおそらく新規SSOユーザーが作成されますが未確認です)

今回はControl Tower有効化時に作成される AWS Control Tower Admin を入力しています。情報を入力して「更新」をクリックすれば完了です。OU移動に伴いガードレールの再設定等が行われるので、登録が完了されるまで少し待ちましょう。

無事指定したOUに移動できました。

なぜOrganizationsで移動しないのか

AWSアカウントのOU移動はOrganizationsでも可能ですが、Control Towerへの登録が失敗となるためService Catalogから実施する必要があります。

実際にOrganizationsでOU移動を行うと、Control Towerで設定されているガードレールが再設定されず一貫性がない状態となるため以下のエラーが表示されます。(ステータスは登録に失敗しましたとなります)

次の理由により、AWS Control Tower はアカウントを登録できませんでした: Your enrolled account was moved to another OU. The account is in an inconsistent state and you may incur unintended charges. If the parent OU is unregistered, register the new OU or return the account to its original OU. If the parent OU is registered, re-register the OU or update the account in AWS Service Catalog. If problems persist, you can terminate the account in AWS Service Catalog and create a new account with AWS Control Tower account factory, or contact AWS Support.

誤ってOrganizationsからOUを移動してしまった場合は、Service CatalogからOU移動の手順を実施しましょう。

終わりに

意外とControl Tower環境でのOU移動をした記事がなかったので書いてみました。Organizationsから移動するとエラーになるので注意しましょう。

AWS

関連記事

複数の既存メンバーアカウントを Control Tower へ登録する方法

板倉舞

2024.04.18

[アップデート] 新サービス? AWS Control Catalog が増えています

Takuya Shibata

2024.04.14

ランディングゾーン設定後、メンバーアカウントを Control Tower に登録する前に確認しておきたいこと

板倉舞

2024.04.12

[Control Tower]「No launch paths found for resource: prod-xxxxx」というエラーが出たときの対応

板倉舞

2024.04.10