こんにちは、上野です。
AWS Control Towerのこんなニュースが出ていました。
出た当初は、どこが変わったの?とわからなかったのですが、見つけました。 見ていきます。
何が追加されたのか?
アカウントの一覧画面に、「アカウントの登録」ボタンが追加されました。このボタンを使用することで、Control Towerに未登録状態のアカウントを登録できます。
※未登録=Organizations配下にいるが、Control Towerに未登録のアカウントです。
何が嬉しいのか?
この機能が出る前は、既存アカウントについても、新規アカウントと同様にAccount Factoryの画面から作成する必要がありました。
新規アカウントと同様のため、アカウントEメールや表示名等、既存の登録情報を手動で入力する必要があります。既存のものから選択するということができません。メールアドレスで既存のアカウントかどうかを判断するため、1文字でもメールアドレスを間違えると新規アカウントが発行されます。
既存の情報があるのに情報を手動入力するという手間、ミスしたときに新規作成されてしまうというリスクがありました。
今回の登録ボタンを利用することで、入力する情報を少なく、新規作成されるリスクを減らすことができます。
※2022/06/08追記
このアップデートにより、Account Factoryから既存アカウントの登録はできなくなりました。今後は新しくできたアカウントの登録ボタンを使用する必要があります。
やってみる
未登録状態のアカウントを登録していきます。
選択項目は所属するOUのみです。Account Factoryに比べて少ないのがありがたいですね。
なお、事前準備として、登録するアカウントにAWSControlTowerExecution
というIAMロールが必要です。詳細は公式ドキュメントを確認しましょう。
実行ロールを作成する必要があること、同時にアカウント登録できないこと、の2点が警告として表示されます。登録します。
15分ほどで登録済みとなりました。
登録作業は以上となります。簡単ですね!
ユーザー名を指定しなかったAWS SSOですが、ルートアカウントのメールアドレスがユーザー名として設定され、AdministratorAccess権限が付与されていました。
そのほかControl Towerで管理されるグループの権限も自動付与されています。
まとめ
Organizations配下にある既存アカウントは、毎回メールアドレスに間違いが無いかヒヤヒヤしながら作業していたのですが、このアップデートによりより安心して作業ができるようになりました。
現状1つずつの登録しかできませんが、同時に複数アカウント登録ができるようになると、大規模な移行もより捗ると思います。アップデートに期待です。
それでは!