AWS Control TowerとSSOを北バージニアから東京リージョンに引っ越す(廃止編)
2021年3月にAWS Control Tower が東京リージョンで利用できるようになりました。
また、2020年3月にはAWS Single Sign-Onが東京リージョンで利用できるようになっています。
北バージニアに設定していたControl TowerとSSOを、東京リージョンに引っ越してみます。もちろん引っ越しオプションなどはないので、一度退役させることになります。
先駆者様はこちら。
前提
- 作業用にAdmin権限を持つIAM Userを作成してあります。
- Service Catalogはノータッチです。
- Control Towerが作成するVPCはノータッチです。
- Organizationは削除せず、そのまま持ち越しました。
- OrganizationのControl Tower統合も削除せずに持ち越しました。
(というか、正直に言ってOrganizationにControl Tower統合があるとは知りませんでした...マネジメントコンソールだと分からないので...)
手順
- AWS Control Towerの退役
- AWS SSOの退役
- 手動クリーンアップ
AWS Control Towerの退役
Lading zone setting から Decommission your landing zone を選択します。
完了したら、きれいに消えているかをチェックしましょう。
参考: 作成されるリソース(ただし結構残るので、手動クリーンアップで削除します。)
AWS Control Tower のしくみ - AWS Control Tower
AWS SSOの退役
特に難しいことはなくて、Delete AWS SSO configuration を選択します。
この手順でディレクトリグループとアクセス権限セットを含む、SSOに関するすべての設定が削除されます。ご注意ください。
手動クリーンアップ
以下のチェックリストに対応します。
- Control Towerが作成したが削除されてないStackSetsの削除
- OrganizationのOUの削除
- CloudWatch Logグループの削除
- AWS Configが有効になっていないことの確認
- IAM RoleおよびIAM Policyの削除
ピックアップ: CloudWatch Logグループの削除
OrganizationのRootアカウントのControl Towerを有効にしたリージョン(この記事の場合は北バージニア)に、aws-controltower/CloudTrailLogsという名前で存在します。
ピックアップ: AWS Configが有効になっていないことの確認
こんな感じのシェルをOrganizationのメンバーアカウントに実行し、有効になっていないかを確認しました。
#!/bin/sh
for region in 'us-east-1' 'us-east-2' 'us-west-2' 'ap-northeast-1' # 必要に応じて足してください。
do
aws configservice describe-delivery-channels --region $region
done
ピックアップ: IAM RoleおよびIAM Policyの削除
このポイントだけ、先駆者の皆さんと手順が異なります。
筆者の環境では Control Towerのバージョンが2.2だったためか、新たに2.7でLanding Zoneを再作成する際に同じIAM Roleを利用できませんでした。
(権限が足りず、 is not authorized to perform: organizations:DescribeAccount on resource: のようなエラーになる)
したがって、以下のIAM Role, Policyをまとめて削除しました。
- AWSControlTowerAdmin
- AWSControlTowerCloudTrailRole
- AWSControlTowerStackSetRole
- AWSControlTowerConfigAggregatorRoleForOrganizations
- AWSControlTowerServiceRolePolicy
- AWSControlTowerAdminPolicy
- AWSControlTowerCloudTrailRolePolicy
- AWSControlTowerStackSetRolePolicy
削除されたRole, Policyは、Landing Zoneを再設定する際に再生成されるました。
Discussion