Control Towerへのアカウント登録時に必要な既存Config配信チャネルの削除をAdministratorAccessポリシーで試みても権限エラーになる原因と対策を教えてください。
2025.12.23
この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2025 | Advent Calendar 2025 - Qiita 23 日目の記事です。
困っていた内容
Control Towerへのアカウント登録時に必要な既存Config配信チャネルの削除をAdministratorAccessポリシーで試みても権限エラーになる原因と対策を教えてください。
どう対応すればいいの?
Control Tower管理アカウントからメンバーアカウントのAWSControlTowerExecutionロールをAssumeRoleして、既存Config配信チャネルの削除をお試しください。
既存Config配信チャネルの削除がAdministratorAccessポリシーを用いても権限エラーが発生する場合、一般的には後述のコントロールにより操作が拒否されている場合が考えられます。
このコントロールが適用されている場合、ポリシー記載の通り、AWSControlTowerExecutionロール以外でのConfig配信チャネル削除は実行できません。またAWSControlTowerExecutionロールの信頼関係にはControl Tower管理アカウントのみが指定されているため、メンバーアカウントからは操作できません。
そのため、Control Tower管理アカウントから削除したいConfig配信チャネルが存在するメンバーアカウントのAWSControlTowerExecutionロールをAssumeRoleして、削除を試みてください。
- コントロール名:[AWS-GR_CONFIG_ENABLED] Enable AWS Config in all available regions
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GRCONFIGENABLED",
"Effect": "Deny",
"Action": [
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteRetentionConfiguration",
"config:PutConfigurationRecorder",
"config:PutDeliveryChannel",
"config:PutRetentionConfiguration",
"config:StopConfigurationRecorder"
],
"Resource": "*",
"Condition": {
"ArnNotLike": {
"aws:PrincipalARN": "arn:*:iam::*:role/AWSControlTowerExecution"
}
}
}
]
}
参考情報
