이번 주제는 CT 계정 마이그레이션하다 발생했던 이슈에 대한 트러블슈팅에 대한 내용이다.
이 이슈는 Control Tower 계정을 마이그레이션을 하다가 발생한 것으로,
CT 계정 마이그레이션 방법은 아래 포스팅 링크에서 확인 가능하다.
[AWS Control Tower] CT 계정 마이그레이션하는 방법
이번 포스팅에서는 AWS Control Tower 계정 마이그레이션하는 방법에 대해 알려드리겠음.다양한 계정이 나오니 헷갈리지 말 것을 당부드림. AWS 계정(Account) 별로 진행되는 작업은 아래와 같다.- AS-IS
honeydewlog.tistory.com
0. 배경
마이그레이션될 Account에서 각 ControlTowerExecutionRole 신뢰관계에서 TO-BE CT 계정의 AWS ID 것으로 수정하다가 발생
1. 에러 내용
Failed to update trust policy.
User: arn:aws:iam::xxxxx:root is not authorized to perform: iam:UpdateAssumeRolePolicy on resource: role AWSControlTowerExecution with an explicit deny in a service control policy
2. 원인
AWSControlTowerExecution Role을 수정하려 했더니 명시적 거부 정책으로 인해 그 어떠한 Administrator 권한을 가진 사용자 또는 계정으로 정책을 수정할 수 없었다. 그리고 그 원인은 기존 AWS Organization에 속해있어서였다.
3. 해결방법
AWS Organization에서 해당 계정을 선택하고 "조직에서 제거"
4. 재발방지 또는 사전예방
3.작업을 하는 것이 번거롭기에 이전 글 https://honeydewlog.tistory.com/entry/2-1 에서 기재한 순서대로 진행하는 것이 좋다.
즉 [3. 마이그레이션될 Account에서 각 ControlTowerExecutionRole 신뢰관계에서 TO-BE CT 계정의 AWS ID 것으로 수정] 작업을 완료한 다음 [4. TO-BE CT 계정에서 계정등록 (AWS Organization)] 을 하는 것이다.
'OPS' 카테고리의 다른 글
| [KMS] KMS(CMK)에 Alias 추가하는 법 (0) | 2024.06.11 |
|---|---|
| [Control Tower] IAM Identity Center (구 SSO) 사용자 추가 (2) | 2024.06.04 |
| [IAM] AWS IAM 역할 생성 가이드 (0) | 2024.05.29 |
| [AWS Control Tower] CT 계정 마이그레이션하는 방법 (0) | 2024.05.29 |
| CloudBerry Explorer 대체재 (0) | 2024.05.27 |