Control Towerをv2.3からv2.5にバージョンアップしてみた

こんにちは、臼田です。

みなさん、AWSのマルチアカウント管理してますか？(挨拶

今回は以前構築していた AWS Control Towerの新しいバージョン2.5がリリースされたので、バージョンアップ(更新)してみました。

Control Tower v2.5概要

Control Tower v2.5はユーザーガイドの履歴では2020年11月18日、マネジメントコンソールでは2020年11月6日に追加されたとされていますが、What's newで情報が出たのは以下の記事で2021年1月28日になります。

AWS Control Tower がカナダ、フランクフルト、ロンドン、ストックホルム、シンガポールの各 AWS リージョンで利用可能に

5つのリージョンが追加されています。

• カナダ (中部)
• 欧州 (フランクフルト)
• 欧州 (ロンドン)
• 欧州 (ストックホルム)
• アジアパシフィック (シンガポール)

これで計10リージョンを管理できるようになりました。(東京はよ)

バージョンアップの注意事項

Control Towerをバージョンアップする際にはマネジメントコンソールからポチポチ更新します。

処理が自動的に行われる反面、変更内容によってはユーザーが設定したSCPなどによりうまく動作しないなどの可能性があります。ユーザーガイドをよく確認しましょう。

AWS Control Towerでの構成更新管理-AWS Control Tower

更新がうまく行かなかった場合はドリフトとしてControl Towerのマネジメントコンソールの画面である程度の内容が確認できることもありますが、Cloud Formationのエラーメッセージなど詳細を確認していく作業が必要になることもあります。

おすすめは検証用のControl Tower環境を用意しておき、SCPや権限周りを同じように設定・展開しておき、そちらで動作確認をしてからが好ましいでしょう。といっても、Control Towerの更新が失敗しただけでは直接的にAWS上の各種環境に影響が出るとは考えにくいので、許容する選択肢もありです。

やってみた

実は前述の通り11月には2.5が利用できる状態だったため、12月頭にこのアップデートに着手していました。ただ、途中の更新が面倒だったので放置していました。検証環境だし仕方ないですね。

なので、途中まではスクリーンショットが古いので今の画面と若干違うかもしれませんがご容赦を。

まあそもそもすでにバージョン2.6も出てしまっているのでこのアップデートは直接実行できません。どうやら現状2.3の環境は2.5に上げることはできず、直接2.6にしか上げれません。なのでこれはこんな事があったよーという備忘録でもあります。

工程は大きく2つです。

• Control Tower自体の更新
• 子アカウントの更新

Control Tower自体の更新

まずマネジメントコンソールでControl Towerを開いて「ランディングゾーン設定」へ移動します。新しいバージョンが出ているので選択して「更新」を押します。ちなみにこのあたりの画面は12月のものです。

更新の確認画面がでます。v2.3からv2.5の際には使ってないリージョンを増やすだけになるならアップデートしないことを推奨としています。それ以外の更新内容が少なかったので、このバージョンをスキップするのも選択肢ではありますね。今回はアップデートしたいので「OK」して次へ。

更新中にどのようなことが行われるかの説明がでます。よく確認しましょう。これらが妨げられるようなSCPがあったりするとうまく行かないので注意です。

更新時もControl Tower作成時と同じような画面になっていますが、特に入力することはありません。下部の「ランディングゾーンの更新」を押します。

作成時と同じような作成中の画面になります。しばらく待ちます。

しばらくして更新が完了します。

子アカウントの更新

続いて子アカウントを更新します。ここから画面は2021年3月のものになります。

Control Towerの画面にアクセスすると、本体自体はバージョンが上がっていて子アカウントに更新を反映させるようメッセージが表示されます。アカウント一覧を開きます。

アカウントの状態が「更新が利用できます」となっています。メッセージをみると「OUを再登録」することによりアカウントへ更新が適用できるとあります。というわけでアカウントの更新のためにOUの画面を開きます。

実は12月当時は1個ずつアカウントを更新していく必要がありました。2021年1月28日のリリースが出た際に、以下の一括更新機能も追加されました。この機能のおかげで簡単に子アカウントの更新が可能です。

AWS Control Tower が一括アカウント更新の提供を開始

「OUを再登録」ボタンがありますのでこれを押します。

子アカウントを更新する際の動作と必要な事前チェックについてアナウンスされます。Control Tower自体の更新時と同じような内容になります。確認して問題なければ「OUを再登録」します。

こちらも同じように更新が始まります。

しばらくすると完了しました。

画面をリロードします。アカウント一覧でそれぞれのアカウントが2.5になっていることが確認できました。

更新した子アカウントのSSOの状況を確認するようにアナウンスされていたので確認します。私の手元では特に問題はありませんでした。

以上で完了です。

まとめ

Control Towerのバージョンを2.3から2.5に更新してみました。以前もなんどか更新してきましたが、だいぶ自動的に動いてくれてやりやすくなりました。一方でユーザー側の設定によっては失敗するケースもありうるので確認はきちんとしましょう。

だいぶ自動で新しい機能が追加されるのは非常に嬉しいですね。検証をしっかりしつつ、Control Towerを使いこなして行きましょう。