客戶詢問:
目前有B帳號使用 Control Tower 管理多帳號,有建立organizations 管理 OUs,我現在需要搬回到這個A帳號(B org to A org)。
目前知道的步驟為
1.A帳號需要先建立新organizations ,複製一樣的權限如 Scp
2.A帳號建立新 Control Tower(準備兩組新email),啟用一樣的 Control 權限,與新配置 SSO 權限
3.將 A帳號的 control tower execution role , trust account 填入 B 帳號
4.A帳號 Organizations > Services > 啟用CloudFormation StackSets
5. B帳號下的子帳號離開組織(需要完成註冊步驟)
6.子帳號 刪除 Control Tower 創建的角色、AWS Config 和 Control Tower 創建的 CloudWatch Log 組(CloudFormation stacks)
7.邀請子帳號到 A 帳號 Organizations
8.A帳號 Control Tower 重新Enroll Account
9.最後將B帳號 停用Control Tower
10.將B帳號Organizations master ,刪除Organizations
目前知道 Audit Log, Archive Log 需要手動移動到A帳號,以上步驟我有遺漏相關資訊嗎?
假設上述步驟有錯,可以指正我嗎?
額外詢問這樣遷移,會影響到我現有的服務(例如停機)?
----以下回答----
在敘述中了解您想將 Control Tower 所管櫟相關子帳號轉移至另一個已存在帳號中,想確認相關步驟以及是否對現在已經使用/建立資源會有影響。若是我理解有誤,請麻煩告知指正。
首先,從您所條列步驟與相關文件確認 [1][2] 後,看起來是沒有問題的,但是 Control Tower 可能會將其所部署相關資源移除,因此若您想要避免不預期狀況發生而造成 downtime,建議您也可以考慮在帳號 A 下重新建立 B 帳號下所有資源後遷移服務的方式進行相關操作。
===== To unmanage an enrolled account [1] =====
When you unmanage a customized account, AWS Control Tower removes the resources that the blueprint has deployed, as well as any other resources that AWS Control Tower created within the account.
==============================
建議您先在測試環境中,驗證有關此帳號資源轉移的所有操作並且確認沒有相關問題後,再到您 Production/正式帳號中進行相關操作。
經過內部團隊同仁確認,從您所提供的步驟,目前並沒有看到相關風險存在,而有關是否會有資源被刪除,這部分與您使用的設定有關,以下為參考範例,相關設定還需要由您自行確認。
===== 範例情境 =====
(1) 如果您使用 Customizations for AWS Control Tower (CfCT) v2.5.0 以上版本並將 "enable_stack_set_deletion" 設定為 "true" [1],這樣當您在操作 "unmanage a customized account" 相關步驟時,會將相關客製化 stack 一併移除,反之,殘留資源您需要自行清理。
(2) 如您使用 Account Factory Customization (AFC) [2],則須先在沒有 blueprint 情況下更新帳號,再執行 unmanage 相關操作。
(3) 如您使用 Account Factory for Terraform [3],您則需手動刪除由 AFT 管理帳號的客製化 pipeline。
......等等
=========================
目前僅有您所提到的帳號間互相轉移,或是 A 帳號下重新建立 B 帳號下所有資源後遷移服務的方式,因此僅能建議在您所能承擔轉移風險限度內,進行相關評估後再進行相關操作。
