こんばんは、小寺です。Organizationsから一度無効化してしまった「Control Tower」を再度有効化してみました。
エラー内容
"AWS Control Tower はランディングゾーンを完全に設定できませんでした。 AWS Control Tower cannot deploy the required stack set because the bucket policy for the logging bucket, aws-controltower-logs-XXXXXXX-ap-northeast-1, is incorrect. "
同様の事象は確認できたのですが、とりあえず再度有効化をまずは試みました。
Control Towerを再度有効化してみた
(1) ランディングゾーンの設定を行います。Control Towerのリージョンは東京リージョンを選びます。
(2) リージョン拒否設定は有効化します。ここで有効化しておいて、誤ったリージョンへのリソース作成を防ぐためです。
(3) OUは再度有効化を行うため、以前設定した内容が表示されます。
(4) 共有アカウントの設定もOUと同様に前回設定した内容がそのまま表示されます。ここでは操作ができない状態でした。
(5) AWSアカウントアクセス設定は「IAM Identity Center」を利用します。IdPの設定は別途実施とします。AWS CloudTrailは「有効」にします。
(6) S3のログ保存期間とKMS設定を行います。再度有効化のトライ1回目は当初の設定のままKMSをチェックで対応しました。
(7) 設定内容を確認して「ランディングゾーンの設定」をクリックします。
(8) 設定が始まります。数分経過すると後、30分程と表示が変わります。
結果は、有効化にトライした当初と同じ エラー表示が・・・・。 "AWS Control Tower はランディングゾーンを完全に設定できませんでした。 AWS Control Tower cannot deploy the required stack set because the bucket policy for the logging bucket, aws-controltower-logs-XXXXXXX-ap-northeast-1, is incorrect. "
エラー解決のために試したこと
ControlTowerがマルチリージョンキーのサポートをしていないというオフィシャルガイドを元に、ランディングゾーン設定の際にKMSのキーを利用しないようにしました。
合わせてCloudFormationのStack「 AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER」を削除しました。
待つこと数十分。無事にランディングゾーンの設定が完了しました。