🔖

AWS Control TowerとSSOを北バージニアから東京リージョンに引っ越す(廃止編)

2021/09/23に公開約3,200字

2021年3月にAWS Control Tower が東京リージョンで利用できるようになりました。
また、2020年3月にはAWS Single Sign-Onが東京リージョンで利用できるようになっています。
北バージニアに設定していたControl TowerとSSOを、東京リージョンに引っ越してみます。もちろん引っ越しオプションなどはないので、一度退役させることになります。

先駆者様はこちら。

前提

  • 作業用にAdmin権限を持つIAM Userを作成してあります。
  • Service Catalogはノータッチです。
  • Control Towerが作成するVPCはノータッチです。
  • Organizationは削除せず、そのまま持ち越しました。
  • OrganizationのControl Tower統合も削除せずに持ち越しました。

(というか、正直に言ってOrganizationにControl Tower統合があるとは知りませんでした...マネジメントコンソールだと分からないので...)

手順

  • AWS Control Towerの退役
  • AWS SSOの退役
  • 手動クリーンアップ

AWS Control Towerの退役

Lading zone setting から Decommission your landing zone を選択します。
完了したら、きれいに消えているかをチェックしましょう。

参考: 作成されるリソース(ただし結構残るので、手動クリーンアップで削除します。)
AWS Control Tower のしくみ - AWS Control Tower

AWS SSOの退役

特に難しいことはなくて、Delete AWS SSO configuration を選択します。
この手順でディレクトリグループとアクセス権限セットを含む、SSOに関するすべての設定が削除されます。ご注意ください。

手動クリーンアップ

以下のチェックリストに対応します。

  • Control Towerが作成したが削除されてないStackSetsの削除
  • OrganizationのOUの削除
  • CloudWatch Logグループの削除
  • AWS Configが有効になっていないことの確認
  • IAM RoleおよびIAM Policyの削除

ピックアップ: CloudWatch Logグループの削除

OrganizationのRootアカウントのControl Towerを有効にしたリージョン(この記事の場合は北バージニア)に、aws-controltower/CloudTrailLogsという名前で存在します。

ピックアップ: AWS Configが有効になっていないことの確認

こんな感じのシェルをOrganizationのメンバーアカウントに実行し、有効になっていないかを確認しました。

#!/bin/sh

for region in 'us-east-1' 'us-east-2' 'us-west-2' 'ap-northeast-1' # 必要に応じて足してください。
do
  aws configservice describe-delivery-channels --region $region
done

ピックアップ: IAM RoleおよびIAM Policyの削除

このポイントだけ、先駆者の皆さんと手順が異なります。
筆者の環境では Control Towerのバージョンが2.2だったためか、新たに2.7でLanding Zoneを再作成する際に同じIAM Roleを利用できませんでした。
(権限が足りず、 is not authorized to perform: organizations:DescribeAccount on resource: のようなエラーになる)

したがって、以下のIAM Role, Policyをまとめて削除しました。

  • AWSControlTowerAdmin
  • AWSControlTowerCloudTrailRole
  • AWSControlTowerStackSetRole
  • AWSControlTowerConfigAggregatorRoleForOrganizations
  • AWSControlTowerServiceRolePolicy
  • AWSControlTowerAdminPolicy
  • AWSControlTowerCloudTrailRolePolicy
  • AWSControlTowerStackSetRolePolicy

削除されたRole, Policyは、Landing Zoneを再設定する際に再生成されるました。

参考資料

GitHubで編集を提案

Discussion

ログインするとコメントできます