Control Towerを廃止して東京リージョンで再有効化してみた – 再有効化編

Control Towerを廃止して別リージョンで有効化する記事です。イレギュラーな作業なので十分に注意しましょう。前回のブログから通してご確認ください。
2021.05.30

こんにちは、臼田です。

みなさん、AWSのアカウント管理してますか?(挨拶

本ブログはControl Towerを廃止して再有効化する以下のブログの続きです。

前回は廃止まででしたが、今回再有効化して完了とします。

再有効化の流れ

前回から何度も繰り返しますが、この作業はイレギュラーな作業なので、ユーザーガイドをよく読み時間に余裕を持って、途中で失敗してもサポートに頼りながらなんとでもなるように実施しましょう。

主に確認しておくドキュメントは前述の既存の組織でControl Towerを有効化する部分と、登録時の一般的な失敗要因あたりです。

再有効化は大きく2フェーズに別れます。Control Tower自体の有効化と、OU/アカウントの登録(取り込み)です。Control Towerを有効化しただけでは、Organizations配下の他のアカウントは取り込まれません。

具体的な廃止から再有効化までは以下のような作業が必要になります。

  1. 旧CoreOUのリネーム
  2. 旧CoreOUの各アカウントのリネーム
  3. SecurityOU配下に作成する新アカウント(Audit/Log Archive)の準備
  4. 各アカウントConfigクリーンアップ確認
  5. STS有効化確認
  6. 東京でControl Tower再有効化
  7. 各OUの追加
  8. 追加SCP/SSO設定/Control Tower拡張

既存のOUやアカウントの扱い、状態によってはこれ以外も必要になると思いますのでドキュメントやエラー文を参考にしてください。

やってみた

旧CoreOUのリネーム

OUの名前については、新規で作成するものがもともと存在するOU名とかぶらないようにする必要があります。

現状新規で作成されるのはSecurityOUやSnadboxOUですが、前者はリネーム可能、後者はリネームや非作成の選択が可能です。そして以前はこれらはCoreOU/CustomOUという名前でした。

そんな経緯もあると思いますが、CoreOUをそのまま残しておいても重複することは無いのですが、コンソールからControl Towerを有効化しようとしたら、リネームするように以下の警告がでました。というわけで対応します。

ちなみに上記警告はConfigのOrganizations連携についても無効化するように書かれているため、これも行いましょう(前回のブログに追記しました)。

OUのリネームはOrganizationsコンソールでOUを選択して「名前の変更」を選択します。

適当にリネームします。

Customも同様に変更します。

旧CoreOUの各アカウントのリネーム

SecurityOUに作成される2つの共有アカウント(Audit / Log Archive)は作成時に名前を変えることができるようになりました。ただ名前の重複はできないので新しいアカウントをAudit / Log Archiveとするため既存のアカウントをリネームします。もしかしたらそのまま残しておいて、新しいものをリネームしても良いかもしれません。

アカウントのリネームは管理アカウントのControl TowerやOrganizationsから変更することはできません。各アカウントのルートアカウント(ルートユーザー)でログインして変更します。

アカウント設定から「編集」で変えます。

適当にリネームします。

SecurityOU配下に作成する新アカウント(Audit/Log Archive)の準備

新しい共有アカウントで利用するメールアドレスが必要になります。アカウント作成に利用するメールアドレスはすべてユニークである必要があるので、既存のAudit / Log Archiveアカウントと違うメールアドレスを準備しておきます。

各アカウントConfigクリーンアップ確認

取り込む各アカウントについても準備しておく必要があります。

AWS Configが無効化されていないと取り込みに失敗します。AWS Configはマネジメントコンソール上で確認するだけでは不十分です。以下のようにCLIで無効化されていることを確認します。

STS有効化確認

取り込む各アカウントの準備をもう一つ。STSは各リージョン毎のエンドポイントを所持していますが、これを部分的に無効化していると、取り込みに失敗します。というわけで、以下のように各アカウントの各リージョンエンドポイントがすべて有効であることを確認します。

東京でControl Tower再有効化

それでは本題、有効化していきます。途中で失敗することも念頭に入れながら。

東京リージョンから「ランディングゾーンの設定」を始めます。

ホームリージョンが東京になっていることを確認しつつ、追加するリージョンが選択できるので必要なだけ選択します。

続いてSecurityOUとSandboxOUの設定です。今回はSecurityOUをそのまま、SandboxOUはオプトアウト(作成しない)設定とします。

用意しておいた共有アカウント用のメールアドレスを入力して次へ。リネームしてもいいかもしれません。

確認画面で一通り確認しておきます。

アカウントも確認します。

設定されるIAMやガイダンスも確認して、チェックを入れて設定開始します。

あとは暫く待つようにプログレスバーが表示され、

しばらくすると完了します。

各OUの追加

既存のOrganizationsでControl Towerを有効化した場合には、配下のOUやアカウントはまだControl Towerの配下に取り込まれていません。これらを取り込んでいきます。

まずControl Towerの組織単位で取り込む対象のOUを選択します。

OUと配下のアカウントを確認して「OUを登録」します。

こちらもリスクや事前チェック項目などをよく確認し登録を開始します。同意して登録します。

OUまるごと配下のアカウントの追加が開始されます。

しばらくすると完了です。

追加SCP/SSO設定/Control Tower拡張

あとは通常通りControl Towerの整備をしていくだけです。必要なOU/アカウントの取り込みや追加のSCP設定、SSO設定やControl Tower拡張などをして、Landing Zoneを整えていきましょう。

まとめ

既存のControl Towerを廃止して再有効化する作業を行いました。なかなかやらないイレギュラーな作業で、かつできるようになってからそんなに経っていません。何度も言いますが実施する場合には十分余裕を持って実施しましょう。

新しくControl Towerを使う方は、ホームリージョンを変更することがないように設計方針をよく検討してください。