タイトルの通り。

前提

Control Towerで管理対象外のリージョンは拒否の設定にし、ap-northeast-1, ap-northeast-3 を管理対象にしていました。
Sandbox OU配下に用意した、開発用アカウントでいろいろ作業していたのですが…。

発端、エラー

CDKでWAFを構築するために us-east-1 へ cdk bootstrap しようとしたところ、以下のエラーになりました。

User: arn:aws:sts::{aws_account_id}:assumed-role/AWSReservedSSO_AWSAdministratorAccess_XXXXXXXXX/{aws_account_email} is not authorized to perform: cloudformation:DescribeStacks on resource: arn:aws:cloudformation:us-east-1:{aws_account_id}:stack/CDKToolkit/* with an explicit deny in a service control policy

解決

ランディングゾーンの設定で us-east-1 を管理対象にして更新します。

なぜハマったのか？

CDKでCloudFrontの構築をしていて、それは問題無くデプロイできていたので…。
us-east-1 は使う前提だよね…そりゃそうだよね…