はじめに
こんにちは!クラウド事業部の早房です。
今回は、AWS Control Tower のランディングゾーンの廃止、再設定をする際の注意点について紹介します。
背景
Control Tower を使った検証の中で、ランディングゾーンの廃止→ランディングゾーンの再設定 が必要となりました。
少し調べたところ、どうやらランディングゾーンの廃止後に残存するリソースが複数存在し、ランディングゾーンの再設定のためには残存した一部リソースをきれいにする必要があることがあるようです。
ランディングゾーンの廃止
Conrtol Tower の利用を停止したい場合、ランディングゾーンの廃止を実行する必要があります。
ランディングゾーンの廃止は以下公式ドキュメントを参考に実施しました。
docs.aws.amazon.com
「ランディングゾーンの設定」内にある「廃止」タブから「ランディングゾーンの廃止」実行できました。
(まっさらな状態であったのも一因であるかと思いますが、)簡単に廃止できてしまったので、誤操作には注意したいところです。
ランディングゾーンの廃止で削除されないリソース
ランディングゾーンの廃止が完了すると、以下が表示されました。
公式ドキュメントによると、以下のリソースはランディングゾーンの廃止後も残存するようです。
・AWS Organizations
・AWS IAM Identity Center (SSO)
・Amazon S3 バケット
・共有アカウント
・プロビジョニングされたアカウント
・CloudWatch Logs ロググループ
また、ランディングゾーンの廃止後に再設定を行う場合は以下のリソースが残存していないことが前提となるため、事前に削除もしくはリネームしておく必要があります。
・「Security」 および 「Sandbox」 という名前の OU
・aws-controltower/CloudTrailLogs という名前の CloudWatch Logs ロググループ
・aws-controltower-logs-<アカウント ID>-<リージョン名> という名前のAmazon S3 バケット
・aws-controltower-s3-access-logs-<アカウント ID>-<リージョン名> という名前のAmazon S3 バケット
所感 / まとめ
ランディングゾーンの廃止はとても簡単なのに、再設定は一筋縄ではいきませんよ~という事が発見できたので勉強になりました。
Control Tower を使った検証についてはこれから本格的に実施していきますので、検証が進み次第追って記事を書こうかと思います。
おわりに
私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
https://www.ap-com.co.jp/service/utilize-aws/
また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。
