📝

[小ネタ] AWS Organizations の信頼できるアクセスが原因で Control Tower を有効化できなかった話

2025/03/13に公開

Prerequisite: Automated pre-launch checks for your management account - AWS Control Tower
The AWS account cannot have trusted access enabled in the organization management account for AWS Config.
Control Towerを有効化するための前提条件についてまとめてみた | DevelopersIO
AWS Organizationsを使用している場合、監査や証跡確認のために、ConfigやCloudTrailも合わせて有効化している事が多いかと思います。

その場合、Config及びCloudTrailの両者とも、一旦無効化する必要があります。
上記制限に抵触していたことが原因でした。

 Control Tower の有効化前Control Tower のコンソールから「ランディングゾーンの設定」をクリックしたところ、上記ブログと同様に「AWS 環境で AWS Control Tower をセットアップする準備ができていません。」というメッセージが表示されました。
AWS Config は無効化していましたが、Organizations の設定で CloudTrail と Config の信頼できるアクセスが有効になっていました。

CloudTrail と Config の信頼できるアクセスを無効後、Control Tower を有効化することができました。

 まとめ今回は AWS Organizations の信頼できるアクセスが原因で Control Tower を有効化できなかった話を紹介しました。

どなたかの参考になれば幸いです。

 参考資料Prerequisite: Automated pre-launch checks for your management account - AWS Control Tower
Control Towerを有効化するための前提条件についてまとめてみた | DevelopersIO

Control Tower の有効化前

まとめ

参考資料

Discussion