AWSのマルチアカウント管理で、Organizations+Control Towerを使う記事を先日書いた。
これにより、新規アカウントからControl Towerによるランディングゾーンの設定が可能になった。
その後にAWS Identity Center(SSO)でAzure ADによるシングルサインオンを実現させる記事も書いた。
しばらくはAzureADのユーザーでAWSを色々と触っていたのだけど、
ControlTowerでアカウントを作ってみたり、ガードレールの設定を入れてみようとしても
どうも権限不足のエラーが出るようになった。
Administrator権限を持っているにもかかわらず。
それでControl Towerの実態であるService CatalogやCloudFormationのスタックを消したりしたら、
余計にエラーを吐くようになってしまい、大惨事となってしまったw
なので、Control Towerを初期化しようかと思ったけど、
「修復する」という機能があったので修復してみた、というお話。
やり方は簡単。
AWSコンソールからControl Towerを開いて、
「ランディングゾーン設定」から「最新バージョン」にチェックを入れて「修復」をクリックする。
もう一度Control Towerの設定を行う感じ。
リージョンを増やしたい場合はリージョンを追加する。
CloudTrailの設定。
S3バケットの保持期間やKSM暗号化。
KSM暗号化も事前にキーを作っておけば設定できる。
やり方はこちら。
あとは確認画面。
最後に「ランディングゾーンの更新」をクリックする。
しばらく待つと再設定が終わり、
ぐちゃぐちゃになっていた設定が元に戻っている。
ちなみに、Identity Centerのセットアップ後にランディングゾーンを再設定すると、
Identity Centerのグループおよび許可セットにそれぞれ以下が追加される。
これらの許可セットでユーザーにアカウントを割り当てるとOK。
正常にControl Towerからアカウント追加等もできるようになった。
ということで、Organizations+Control TowerにIdentity Centerを使うときは
以下の流れでランディングゾーンの再設定が必要。
- Control Towerの初期設定でOrganizations作成
- Identity Centerでシングルサインオン+ユーザープロビジョニング
- Control Towerでランディングゾーン再設定 ← いまここ
以上。
なんでもやってみないと理解が深まらないね〜。
0 件のコメント:
コメントを投稿