Control Towerを有効化するための前提条件についてまとめてみた

つくぼし

2022.09.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、つくぼし(tsukuboshi0755)です!

Control Towerには、有効化するための前提条件が存在する事をご存知でしょうか?
まっさらなAWS環境であれば前提条件にひっかかる事はほとんどないですが、アカウント管理に関するリソースを作成すると前提条件にひっかかってしまい、有効化できない場合があります。

予定していたControl Towerが有効化できず慌ててしまわないよう、Control Tower有効化の前提条件をまとめてみました!

Control Tower前提条件の確認方法

以下の公式ドキュメントにまとまっています。

Control Tower有効化対象のAWSアカウントにて、AWS Identity Center(旧AWS SSO)またはAWS Organizationsを既に使用している場合のみ、以下の前提条件にひっかかる可能性があります。

AWS Identity Center(旧AWS SSO)を既に使用している場合

公式ドキュメントには以下の通り書かれています。(日本語訳)

AWS IAM Identity Center (AWS Single Sign-On の後継) (IAM Identity Center) がすでにセットアップされている場合、AWS Control Tower ホーム リージョンは IAM Identity Center リージョンと同じである必要があります。

AWS Identity Center(旧AWS SSO)は2020/03から東京リージョンで設定できるようになったのですが、それ以前に利用していた場合はバージニアリージョンで設定している事が多いと考えられます。

もし上記のようなAWSアカウントでControl Towerのホームリージョンを東京にする場合、以下の画面の削除ボタンでバージニアリージョンで設定されているIdentity Centerを一旦削除し、Control Tower有効後に東京リージョンで自動設定されるIdentity Centerに対して、新規アカウントとして追加する形になります。

既に東京以外のリージョンにて、AWS Identity Centerを用いて多くのアカウントを作成している場合、そちらも一度全て削除してから追加し直す形になってしまいます。

その場合、AWS Identity Center設定を削除した場合の影響範囲について、きちんと検討しておく必要がありますね。

AWS Organizationsを既に使用している場合

公式ドキュメントには以下の通り書かれています。(日本語訳)

AWS アカウントは、AWS Config または CloudTrail の組織管理アカウントで信頼できるアクセスを有効にすることはできません。

AWS Organizationsを使用している場合、監査や証跡確認のために、ConfigやCloudTrailも合わせて有効化している事が多いかと思います。

その場合、Config及びCloudTrailの両者とも、一旦無効化する必要があります。
(Control Tower有効化のタイミングで、Config及びCloudTrailが再度有効化されます)

以上の信頼できるアクセスを無効化するには、AWS Organizations > サービスから、ConfigまたはCloudTrailを選択し、信頼されたアクセスを無効にするボタンを押す事でOFFに設定できます。

前提条件を満たしているかの確認方法

ログイン中のAWSアカウントがControl Towerの前提条件を満たしているかについては、Control Towerコンソール画面のランディングゾーンの設定ボタンを押すだけで簡単に確認できます!
(このボタンを押すだけで、Control Towerは有効化されるわけではないためご安心ください。)

ホームリージョンの選択画面に遷移せず、下記のような「AWS 環境で AWS Control Tower をセットアップする準備ができていません。」というメッセージが出てきた場合、Control Towerの前提条件を満たせていません。
メッセージの中に原因が記載されていますので、どの前提条件を満たせていないか簡単に確認できます。

Control Towerを有効化する際は、先にランディングゾーンの設定ボタンだけを押して、事前にどの前提条件が満たせていないかを確認する事を推奨します。

最後に

Control Towerを有効化しようと思ったら、前提条件を満たしていないためすぐには有効化できない、なんて場面に遭遇してしまったら面倒ですよね。

既にAWSを使用している環境でControl Towerを有効化したい場合は、前提条件にひっかからないか事前に確認しておきましょう!

以上、つくぼしでした!

AWS

関連記事

複数の既存メンバーアカウントを Control Tower へ登録する方法

板倉舞

2024.04.18

[アップデート] 新サービス? AWS Control Catalog が増えています

Takuya Shibata

2024.04.14

ランディングゾーン設定後、メンバーアカウントを Control Tower に登録する前に確認しておきたいこと

板倉舞

2024.04.12

[Control Tower]「No launch paths found for resource: prod-xxxxx」というエラーが出たときの対応

板倉舞

2024.04.10