AWS Control Tower のアップデートにより AWS IAM Identity Center を自己管理できるようになりました。これにより、Control Tower 有効化時に作成されるアクセス許可セット、グループ、ユーザーを利用しないという選択ができます。そこで、本ブログでは構築済みの Control Tower 環境で、アクセス許可セット等を自動生成することを禁止する設定に変更し、有効化時に Control Tower が作成したアクセス許可セット、グループ、ユーザーを削除してみたいと思います。
アップデートの内容は次のブログで紹介されています。
試してみた
始めに Control Tower のランディングゾーン設定を変更した後に、Control Tower が作成した AWS IAM Identity Center のアクセス許可セット、グループ、ユーザーの削除と Service Catalog のポートフォリオのアクセス権の削除を実施します。
Control Tower のランディングゾーン設定の更新
作業前のランディングゾーン設定を確認します。IAM Identity Center が有効になっています。
ランディングゾーン設定を変更するために設定を変更するをクリックします。
Step 2 のユーザーアクセス設定が冒頭で紹介したアップデート機能の設定です。許可するから禁止するに変更します。
他は設定は変更せずに次に進んでいき、最後にランディングゾーンの更新内容を確認してからランディングゾーンの更新を実行します。
実行後は更新完了を待ちます。
更新途中のステータスを確認することもできます。
しばらく待って更新完了後は、IAM Identity Center 設定が有効になっていませんに変わっていることを確認できました。
以上で、Control Tower のランディングゾーンの更新は終わりです。
AWS IAM Identity Center のアクセス許可セット、グループ、ユーザーの削除
Control Tower のランディングゾーン設定更新後は、IAM Identity Center において Control Tower が作成したアクセス許可セット、グループ、ユーザーを削除します。
まずは Control Tower が作成したリソースを確認してみます。
Control Tower が作成したアクセス許可セットはAWSから始めるアクセス許可セットが該当します。
Control Tower が作成したグループ一覧です。AWSから始まるグループが該当します。利用状況によって変わりますが、私の場合は Control Tower が作成したグループは使っていなかったのでAWSControlTowerAdminsとAWSAccountFactoryに AWS Control Tower Admin ユーザーが所属している状態でした。
Control Tower が作成したユーザーはAWS Control Tower Adminのみです。
アクセス許可セットとアカウントの関連付けの解除
上記で紹介したアクセス許可セットを全て削除するためには、まずはアカウントとの関連付けを解除する必要があります。具体的にはアクセス許可セットのプロビジョニングされたステータスでプロビジョニング済みとなっているは関連付けを削除します。
アカウントの数が多いとアクセス許可セットの関連付けの確認が大変です。その場合は次のブログで紹介している aws-sso-utils ツールを利用することでアクセス許可セットの関連付けを一覧で出力することができます。
アクセス許可セットの関連付けの解除は AWS アカウントメニューから関連付けしたいアカウントを選択した画面で実施することができます。次の画像は Control Tower が作成した Audit アカウントの例です。許可セットタブにおいて関連付けを解除したいアクセス許可セット(Control Tower が作成したアクセス許可セット)を選択して削除をクリックします。
確認してアクセスの削除を実行します。
この作業を Control Tower が作成したアクセス許可セットが関連付けされている全てのアカウントで実施します。アカウントによって関連付けされているアクセス許可セットは変わります。
グループとユーザーの関連付けの解除
次は、ユーザーとグループの関連付けを削除します。
グループメニューからユーザーの関連付けを削除します。ユーザーが関連付けされているグループを選択して、ユーザーを削除します。次の画像は AWSControlTowerAdmins グループの例です。ユーザーを選択してグループからユーザーを削除をクリックします。
確認してグループから n 名のユーザーを削除を実行します。
この作業を Control Tower が作成したグループで実施します。
アクセス許可セット、グループ、ユーザーの削除
後はアクセス許可セット、ユーザー、グループを削除していくだけです。
アクセス許可セットメニューからプロビジョニングされていないことを確認してアクセス許可セットを一つずつ削除します。
グループメニューからユーザーが関連付けされていないことを確認してグループを削除します。
ユーザーメニューから AWS Control Tower Admin ユーザーを削除します。
以上で、AWS IAM Identity Center のアクセス許可セット、グループ、ユーザーの削除は終わりです。
AWS Service Catalog ポートフォリオのアクセス権削除
Control Tower は Service Catalog を利用しています。
Control Tower が作成したポートフォリオである AWS Control Tower Account Factory Portfolio には、Control Tower が作成した IAM Identity Center のアクセス許可セットに関連するアクセス権が設定されています。IAM Identity Center のアクセス許可セットの削除に伴い、ポートフォリオのアクセス権も削除します。
ポートフォリオのアクセスタブにおいて、削除する名前を選択してアクセス権を削除を実行します。既に管理アカウントへのアクセス許可セットの関連付けを解除してしまっているため、名前が ID になっていますが、関連付けを解除する前は 3 行目のように IAM Identity Center が作成した IAM ロール形式の表示となっていました。
確認してアクセス権を削除をクリックします。
以上で、ポートフォリオのアクセス権の削除は終わりです。
さいごに
AWS Control Tower が作成した AWS IAM Identity Center のアクセス許可セットは使わない場合もあったため、そのようなユーザー向けのアップデートでした。利用しないアクセス許可、グループ、ユーザーを削除してスッキリさせることができます。
以上、このブログがどなたかのご参考になれば幸いです。
2
