AWS Control Tower에서 랜딩 존을 설정 실패 시「재시도」를 클릭하면 처음부터 다시 설정할 수 있을까?
안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번에는 AWS Control Tower에서 랜딩 존을 설정 실패 시「재시도」를 클릭하면 처음부터 다시 설정할 수 있는지 확인해 봤습니다.
일부러 실패 유도
아무래도「재시도」를 통해서 AWS Control Tower를 유효화하기 위해서는 랜딩존 설정에 한 번 실패할 필요가 있습니다.
실패하는 방법은 AWS Control Tower를 유효화 하는 사이에 AWS Organizations 콘솔 화면에서 기본 OU의 이름을 똑같이 설정하는 것입니다.
이렇게 설정하면 OU 이름이 중복되어 실패가 됩니다.
AWS Control Tower 콘솔 화면에서 오류가 발생하고, 랜딩 존 설정에 실패했다는 메시지가 뜹니다.
여기서 AWS Control Tower 유효화 설정 버튼도 바뀌게 되는데, 재시도와 대시보드 두 개의 버튼이 나타난 것을 확인할 수 있습니다.
재시도를 통해 AWS Control Tower 유효화
재시도를 클릭하고 AWS Control Tower 유효화를 시도해 보면, 기존에 입력했던 값들이 그대로 유지되어 있는 것을 확인할 수 있으며 수정 또한 불가능합니다.
홈 리전, 리전 거부 설정, S3 와 같은 일부 설정은 수정할 수 있지만, 수정이 불가능 한 값들도 있다는 것을 확인할 수 있습니다.
로그 아카이브와 감사 계정도 수정이 불가능한 것을 확인할 수 있습니다.
반대로 재시도를 통해 로그 아카이브 계정과 감사 계정을 수정할 수도 있는데, AWS Control Tower 유효화 중 어떤 에러가 발생했냐에 따라 수정이 가능한 경우도 있고 불가능 한 경우도 있는 것 같습니다.
이미 계정 이메일을 통해 계정이 생성되어 버렸다면 로그 아카이브와 감사 계정은 수정이 불가능한 것이 아닌가 생각합니다.
랜딩 존 설정에 실패해도 IAM Identity Center는 활성화 되며, OU도 생성이 됩니다.
IAM Identity Center가 활성화된 상태에서 다시 재시도를 통해 AWS Control Tower 유효화 작업을 진행해도 AWS 측에서 에러가 발생하거나 문제가 생기는 것은 아닌것 같습니다.
하지만, 로그 아카이브와 감사 계정의 경우 기존에 생성된 로그 아카이브, 감사 계정의 OU를 삭제하는 것이 좋을 것 같습니다.
동일한 계정 이메일을 사용한다면 이미 존재하는 계정 이메일을 로그 아카이브와 감사 계정으로 사용할 수는 없기 때문에 에러가 발생할 것이고, 계정 이메일을 수정한다고 하면, 기존의 로그 아카이브와 감사 계정은 불필요하게 되기 때문에 삭제 조치가 필요할 것입니다.
그 외, 수정할 수 없었던 값들은 랜딩 존 설정 수정을 통해서 수정할 수 있습니다.
본 블로그 게시글을 읽고 궁금한 사항이 있으신 분들은 [email protected]로 보내주시면 감사하겠습니다.