- 公開日
- 最終更新日
【Control Tower】アカウント単位とOU単位で再登録は挙動が違う【VPC】
この記事を共有する
はじめに
Control Tower便利ですよね。
組織の管理を助けてくれるのですが翻弄される事象がありましたので、注意喚起を込めて共有します。
AWSアカウントは通常、デフォルトのVPCが各リージョンに作成されますが、Control Towerの機能の一つである Account FactoryではデフォルトVPCなしでアカウントを作成できます。
参考:AWS Control Tower で VPC なしのアカウントを作成する
しかし、上記の設定をしていてもデフォルトVPCが作成されてしまうことがありました。
事象の経緯
事象を発見した経緯は以下の通りです。
- ランディングゾーンの更新でリージョンを追加する
- Account Factoryで作成されたアカウントが所属しているOUをControl Towerに再登録する
- 対象のアカウントの追加されたリージョンにデフォルトVPCが存在することを確認
当然ですが、上記のアカウントはデフォルトVPCが作成されない設定で作成しており、初期状態ではVPCがないことは確認済みです。
原因
このようなことが起きた原因は、Control Towerに再登録する際にOU単位で一括で行うのとアカウント単体で行うのとでは挙動が異なるからです。
以下の検証をしてみました。
- Account Factoryで作成されたアカウントAとBを用意
- ランディングゾーンの更新でリージョンを追加する
- アカウントAをアカウント単体で再登録(正確には更新)する
- アカウントBが所属するOUを再登録する
結果は
- アカウントA:VPCが存在しなかった
- アカウントB:VPCが存在した
- その後アカウント単体で再登録したところVPCが削除された
この結果からアカウント単体で更新する場合とOUの再登録では挙動が異なることがわかりました。
なので、デフォルトVPCを作成したくない場合はアカウント単位で更新を行う必要があります。
因みに、正確にはアカウントAはVPCが存在しなかったのではなく、アカウント再登録時に削除されている様でした。
また、Control Towerで自動作成されるSecurity OU (Core OU)のアカウントはVPCは存在しませんでした。そもそもOUの再登録なども不要です。
まとめ
Control Towerに再登録する際にOU単位で一括で行うのとアカウント単体で行うのとでは挙動が異なるというのは驚きました。
ドキュメントに記載のない挙動なのでバグかと思いサポートに確認してみましたが仕様とのことでした。
今のところ確認はできていませんが、同じような事象が他にもあるかもしれません。発見したらお知らせします。
この記事は私が書きました
渡邉 和貴
記事一覧CCoEをやってます。森と山に出没します。 好きなAWSサービスは IAM と CloudFormation
