こんばんは、小寺です。Organizationsから一度無効化してしまった「Control Tower」を再度有効化してみました。

エラー内容

"AWS Control Tower はランディングゾーンを完全に設定できませんでした。 AWS Control Tower cannot deploy the required stack set because the bucket policy for the logging bucket, aws-controltower-logs-XXXXXXX-ap-northeast-1, is incorrect. "

同様の事象は確認できたのですが、とりあえず再度有効化をまずは試みました。

Control Towerを再度有効化してみた

(1) ランディングゾーンの設定を行います。Control Towerのリージョンは東京リージョンを選びます。

(2) リージョン拒否設定は有効化します。ここで有効化しておいて、誤ったリージョンへのリソース作成を防ぐためです。

(3) OUは再度有効化を行うため、以前設定した内容が表示されます。

(4) 共有アカウントの設定もOUと同様に前回設定した内容がそのまま表示されます。ここでは操作ができない状態でした。

(5) AWSアカウントアクセス設定は「IAM Identity Center」を利用します。IdPの設定は別途実施とします。AWS CloudTrailは「有効」にします。

(6) S3のログ保存期間とKMS設定を行います。再度有効化のトライ1回目は当初の設定のままKMSをチェックで対応しました。

(7) 設定内容を確認して「ランディングゾーンの設定」をクリックします。

(8) 設定が始まります。数分経過すると後、30分程と表示が変わります。

結果は、有効化にトライした当初と同じ エラー表示が・・・・。 "AWS Control Tower はランディングゾーンを完全に設定できませんでした。 AWS Control Tower cannot deploy the required stack set because the bucket policy for the logging bucket, aws-controltower-logs-XXXXXXX-ap-northeast-1, is incorrect. "

エラー解決のために試したこと

ControlTowerがマルチリージョンキーのサポートをしていないというオフィシャルガイドを元に、ランディングゾーン設定の際にKMSのキーを利用しないようにしました。

合わせてCloudFormationのStack「 AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER」を削除しました。

待つこと数十分。無事にランディングゾーンの設定が完了しました。