Migrate AWS accounts between Control Towers(工作日常)

閱讀時間約 5 分鐘

客戶詢問:

目前有B帳號使用 Control Tower 管理多帳號,有建立organizations 管理 OUs,我現在需要搬回到這個A帳號(B org to A org)。


目前知道的步驟為


1.A帳號需要先建立新organizations ,複製一樣的權限如 Scp

2.A帳號建立新 Control Tower(準備兩組新email),啟用一樣的 Control 權限,與新配置 SSO 權限

3.將 A帳號的 control tower execution role , trust account 填入 B 帳號

4.A帳號 Organizations > Services > 啟用CloudFormation StackSets

5. B帳號下的子帳號離開組織(需要完成註冊步驟)

6.子帳號 刪除 Control Tower 創建的角色、AWS Config 和 Control Tower 創建的 CloudWatch Log 組(CloudFormation stacks)

7.邀請子帳號到 A 帳號 Organizations

8.A帳號 Control Tower 重新Enroll Account

9.最後將B帳號 停用Control Tower

10.將B帳號Organizations master ,刪除Organizations

目前知道 Audit Log, Archive Log 需要手動移動到A帳號,以上步驟我有遺漏相關資訊嗎?

假設上述步驟有錯,可以指正我嗎?

額外詢問這樣遷移,會影響到我現有的服務(例如停機)?



----以下回答----

在敘述中了解您想將 Control Tower 所管櫟相關子帳號轉移至另一個已存在帳號中,想確認相關步驟以及是否對現在已經使用/建立資源會有影響。若是我理解有誤,請麻煩告知指正。


首先,從您所條列步驟與相關文件確認 [1][2] 後,看起來是沒有問題的,但是 Control Tower 可能會將其所部署相關資源移除,因此若您想要避免不預期狀況發生而造成 downtime,建議您也可以考慮在帳號 A 下重新建立 B 帳號下所有資源後遷移服務的方式進行相關操作。


===== To unmanage an enrolled account [1] =====

When you unmanage a customized account, AWS Control Tower removes the resources that the blueprint has deployed, as well as any other resources that AWS Control Tower created within the account.

==============================


建議您先在測試環境中,驗證有關此帳號資源轉移的所有操作並且確認沒有相關問題後,再到您 Production/正式帳號中進行相關操作。


經過內部團隊同仁確認,從您所提供的步驟,目前並沒有看到相關風險存在,而有關是否會有資源被刪除,這部分與您使用的設定有關,以下為參考範例,相關設定還需要由您自行確認。


===== 範例情境 =====

(1) 如果您使用 Customizations for AWS Control Tower (CfCT) v2.5.0 以上版本並將 "enable_stack_set_deletion" 設定為 "true" [1],這樣當您在操作 "unmanage a customized account" 相關步驟時,會將相關客製化 stack 一併移除,反之,殘留資源您需要自行清理。


(2) 如您使用 Account Factory Customization (AFC) [2],則須先在沒有 blueprint 情況下更新帳號,再執行 unmanage 相關操作。


(3) 如您使用 Account Factory for Terraform [3],您則需手動刪除由 AFT 管理帳號的客製化 pipeline。


......等等

=========================



目前僅有您所提到的帳號間互相轉移,或是 A 帳號下重新建立 B 帳號下所有資源後遷移服務的方式,因此僅能建議在您所能承擔轉移風險限度內,進行相關評估後再進行相關操作。



15會員
76內容數
留言0
查看全部
發表第一個留言支持創作者!
西尼亞ming的沙龍 的其他內容
Is it possible to do cross-account Msk for EventBridge Pipes sources? 當前 EventBridge Pipes 無論透過 Console,或是 CLI,都尚未支持跨帳號的 MSK 資源。 目前 Console 尚無法
我的ALB return 307 要給 client, 然後 waf發現了, 就把這個 ip block 掉。 這樣的方式可waf 規則做的到嗎? 想要在 WAF 上對特定的響應做阻擋,當前 WAF 僅能對請求的內容檢查並給予相對應的動作,故無法針對您 ALB 上的特定響應封鎖。
ACM 網域驗證的自動更新是否需要將網域託管在 Amazon Route 53 上 ? 答案是否定的。您可以在不同的 DNS 服務提供者託管您的網域。如果您的記錄設定正確,AWS ACM 仍然可以自動續約證書。 參考文獻: [1] DNS 驗證-https://docs.aws.am
本文探討AWS帳戶搬遷至新代理商後的標籤設定問題,解釋了在新組織下如何重新啟用標籤的必要性,並針對標籤啟用的時間差及對帳單的影響進行了解釋。特別地,若新的組織payer在11/7協助重新啟用標籤,該標籤僅會應用於啟用後的數據,不能回溯到標籤啟用之前的用量資料,並可能需要最多24小時完成啟用過程。
想要了解在使用 private hostedzone 時,如果要關聯多個 VPC 甚至是 不同帳戶的 VPC 是否需要 VPC peering 當使用 Private hostedzone 時,您不需要對您的多個 VPC 做 peering。如果您選擇的是自己的 VPC 您可以直接選定該
在ETL架構中,許多使用者會將S3 Data Lake與Crawlers及Athena結合使用,然而是否可以用Glue Job取代Crawlers呢?本文探討了S3 Data Lake的運作流程,解釋了Crawler、Data Catalog和Glue Job在數據處理中的角色與功能差異。
Is it possible to do cross-account Msk for EventBridge Pipes sources? 當前 EventBridge Pipes 無論透過 Console,或是 CLI,都尚未支持跨帳號的 MSK 資源。 目前 Console 尚無法
我的ALB return 307 要給 client, 然後 waf發現了, 就把這個 ip block 掉。 這樣的方式可waf 規則做的到嗎? 想要在 WAF 上對特定的響應做阻擋,當前 WAF 僅能對請求的內容檢查並給予相對應的動作,故無法針對您 ALB 上的特定響應封鎖。
ACM 網域驗證的自動更新是否需要將網域託管在 Amazon Route 53 上 ? 答案是否定的。您可以在不同的 DNS 服務提供者託管您的網域。如果您的記錄設定正確,AWS ACM 仍然可以自動續約證書。 參考文獻: [1] DNS 驗證-https://docs.aws.am
本文探討AWS帳戶搬遷至新代理商後的標籤設定問題,解釋了在新組織下如何重新啟用標籤的必要性,並針對標籤啟用的時間差及對帳單的影響進行了解釋。特別地,若新的組織payer在11/7協助重新啟用標籤,該標籤僅會應用於啟用後的數據,不能回溯到標籤啟用之前的用量資料,並可能需要最多24小時完成啟用過程。
想要了解在使用 private hostedzone 時,如果要關聯多個 VPC 甚至是 不同帳戶的 VPC 是否需要 VPC peering 當使用 Private hostedzone 時,您不需要對您的多個 VPC 做 peering。如果您選擇的是自己的 VPC 您可以直接選定該
在ETL架構中,許多使用者會將S3 Data Lake與Crawlers及Athena結合使用,然而是否可以用Glue Job取代Crawlers呢?本文探討了S3 Data Lake的運作流程,解釋了Crawler、Data Catalog和Glue Job在數據處理中的角色與功能差異。
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
透過充分利用 AWS Organizations 和 CloudFormation StackSets,您可以更好地實現企業級的雲端管理與控制,為業務的持續發展提供穩固的技術支撐。
AWS DataSync 是一種線上資料移動和探索服務,可簡化並加速向 AWS 的資料遷移,以及在內部部署儲存、邊緣節點、其他雲端和 AWS 儲存服務移入和移出資料[1]。 在某些架構上會,使用該服務會需要安裝 DataSync Agent 來傳輸檔案 您需要 DataSync Agen
Thumbnail
當我們架好站、WebService測試完,接著就是測試區域網路連線啦~
Thumbnail
前面已經安裝好IIS後,並且也新建站台了,那麼接下來這篇就會分享如何使用它
Thumbnail
雲端已經成為App開發的核心,而Amazon的AWS(Amazon Web Services是開發者常用的平台,可以幫助開發者建立、整合和擴展App。
Thumbnail
在一般情況我們可以使用 Windows 的 UI 介面來變更網路卡的名稱、IP 等等。但在要使用到 python 或其他程式控制時就不太合用了,所以這邊介紹使用 command 的方式來變更 Windows 中的網卡設定: 打開 Command Prompt(管理員權限): 按下Win,輸入
Thumbnail
情境:想透過 IAM Role 的方式同時切換不同的帳號。 這邊以主帳號 "A" ,子帳號 "B" 為例。即在不重新登入的情況下,先登入A,然後利用 switch role的方式跳進B。
Thumbnail
瞭解如何以管理員身份登錄以開始評估並設定您的ESXI產品。
Thumbnail
授權碼模式連線流程 用戶端請求自己的伺服器。 伺服器發現用戶沒登入,就導向認證伺服器。 認證伺服器顯示授權頁面,等待用戶授權。 用戶確認授權後,授權頁面會向認證伺服器請求授權碼。 用戶獲取授權碼。 用戶將授權碼傳給伺服器。 伺服器拿授權碼向認證伺服器取得token。 應用註冊
Thumbnail
在沒有分環境之前,每一隻lambda只有一個code console給所有人一起編輯,開發好了就deploy,根據設定的trigger觸發執行。 現在我們希望能夠在code console開發,然後deploy到不同的stage,目標是不同stage的api gateway能夠調用該lambda的
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
透過充分利用 AWS Organizations 和 CloudFormation StackSets,您可以更好地實現企業級的雲端管理與控制,為業務的持續發展提供穩固的技術支撐。
AWS DataSync 是一種線上資料移動和探索服務,可簡化並加速向 AWS 的資料遷移,以及在內部部署儲存、邊緣節點、其他雲端和 AWS 儲存服務移入和移出資料[1]。 在某些架構上會,使用該服務會需要安裝 DataSync Agent 來傳輸檔案 您需要 DataSync Agen
Thumbnail
當我們架好站、WebService測試完,接著就是測試區域網路連線啦~
Thumbnail
前面已經安裝好IIS後,並且也新建站台了,那麼接下來這篇就會分享如何使用它
Thumbnail
雲端已經成為App開發的核心,而Amazon的AWS(Amazon Web Services是開發者常用的平台,可以幫助開發者建立、整合和擴展App。
Thumbnail
在一般情況我們可以使用 Windows 的 UI 介面來變更網路卡的名稱、IP 等等。但在要使用到 python 或其他程式控制時就不太合用了,所以這邊介紹使用 command 的方式來變更 Windows 中的網卡設定: 打開 Command Prompt(管理員權限): 按下Win,輸入
Thumbnail
情境:想透過 IAM Role 的方式同時切換不同的帳號。 這邊以主帳號 "A" ,子帳號 "B" 為例。即在不重新登入的情況下,先登入A,然後利用 switch role的方式跳進B。
Thumbnail
瞭解如何以管理員身份登錄以開始評估並設定您的ESXI產品。
Thumbnail
授權碼模式連線流程 用戶端請求自己的伺服器。 伺服器發現用戶沒登入,就導向認證伺服器。 認證伺服器顯示授權頁面,等待用戶授權。 用戶確認授權後,授權頁面會向認證伺服器請求授權碼。 用戶獲取授權碼。 用戶將授權碼傳給伺服器。 伺服器拿授權碼向認證伺服器取得token。 應用註冊
Thumbnail
在沒有分環境之前,每一隻lambda只有一個code console給所有人一起編輯,開發好了就deploy,根據設定的trigger觸發執行。 現在我們希望能夠在code console開發,然後deploy到不同的stage,目標是不同stage的api gateway能夠調用該lambda的