APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

【AWS Control Tower】ランディングゾーンを廃止してみた。再設定はすぐにできる?

はじめに

こんにちは!クラウド事業部の早房です。
今回は、AWS Control Tower のランディングゾーンの廃止、再設定をする際の注意点について紹介します。

背景

Control Tower を使った検証の中で、ランディングゾーンの廃止→ランディングゾーンの再設定 が必要となりました。
少し調べたところ、どうやらランディングゾーンの廃止後に残存するリソースが複数存在し、ランディングゾーンの再設定のためには残存した一部リソースをきれいにする必要があることがあるようです。

ランディングゾーンの廃止

Conrtol Tower の利用を停止したい場合、ランディングゾーンの廃止を実行する必要があります。
ランディングゾーンの廃止は以下公式ドキュメントを参考に実施しました。
docs.aws.amazon.com

「ランディングゾーンの設定」内にある「廃止」タブから「ランディングゾーンの廃止」実行できました。
(まっさらな状態であったのも一因であるかと思いますが、)簡単に廃止できてしまったので、誤操作には注意したいところです。

ランディングゾーンの廃止で削除されないリソース

ランディングゾーンの廃止が完了すると、以下が表示されました。

公式ドキュメントによると、以下のリソースはランディングゾーンの廃止後も残存するようです。

・AWS Organizations
・AWS IAM Identity Center (SSO)
・Amazon S3 バケット
・共有アカウント
・プロビジョニングされたアカウント
・CloudWatch Logs ロググループ

docs.aws.amazon.com

また、ランディングゾーンの廃止後に再設定を行う場合は以下のリソースが残存していないことが前提となるため、事前に削除もしくはリネームしておく必要があります。

・「Security」 および 「Sandbox」 という名前の OU
・aws-controltower/CloudTrailLogs という名前の CloudWatch Logs ロググループ
・aws-controltower-logs-<アカウント ID>-<リージョン名> という名前のAmazon S3 バケット
・aws-controltower-s3-access-logs-<アカウント ID>-<リージョン名> という名前のAmazon S3 バケット

docs.aws.amazon.com

所感 / まとめ

ランディングゾーンの廃止はとても簡単なのに、再設定は一筋縄ではいきませんよ~という事が発見できたので勉強になりました。
Control Tower を使った検証についてはこれから本格的に実施していきますので、検証が進み次第追って記事を書こうかと思います。

おわりに

私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。

https://www.ap-com.co.jp/service/utilize-aws/

また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp

本記事の投稿者: hybs_yuuuu
AWSをメインにインフラ系のご支援を担当しています。 https://www.credly.com/users/hybs_yuuuu/badges