AWS Control Tower 랜딩존 해제 불가

Question

AWS Control Tower가 랜딩 존을 서비스 해제하지 못했습니다.
랜딩 존을 해제하는 동안 오류가 발생했습니다. 
AWS Control Tower is unable to assume the AWSControlTowerExecution role in the account. Add the role to your account if it's not present, and try again.

해당 오류가 생기며 랜딩존 해제가 불가합니다.

또한, AWSControlTowerExecution 역할이 존재하지 않습니다.

어떻게 해결할 수 있을까요?

re:Post Agent · Accepted Answer

이 문제는 AWS Control Tower가 랜딩 존을 해제하려고 할 때 필요한 AWSControlTowerExecution 역할이 계정에 없어서 발생하는 것입니다.

해결 방법은 다음과 같습니다:

1. 먼저 해당 계정을 AWS Organizations 콘솔에서 조직의 루트 레벨로 이동시키세요.

2. 그 다음, IAM 콘솔을 통해 AWSControlTowerExecution 역할을 생성해야 합니다:
- 역할에는 AWS 관리 계정 ID를 포함하는 신뢰 관계(Trust relationship)가 필요합니다.
- AdministratorAccess 정책을 이 역할에 연결해야 합니다.

3. 역할을 생성한 후, 다시 랜딩 존 해제를 시도해보세요.

만약 위의 방법으로도 해결되지 않는다면, AWS Support 케이스를 열어 도움을 요청하는 것이 필요할 수 있습니다. 일부 복잡한 상황(예: 삭제된 OU와 관련된 메타데이터 문제)에서는 AWS 내부 지원팀이 메타데이터를 수정해야 할 수도 있습니다.  
**Sources**  
[Removed OU with enabled AWS Backup blocks any operations on Control Tower's Landing Zone | AWS re:Post](https://repost.aws/questions/QU_cdOGS0-QNmZAQLfSc7oqg/removed-ou-with-enabled-aws-backup-blocks-any-operations-on-control-tower-s-landing-zone)  
[Troubleshoot AWS Control Tower role error | AWS re:Post](https://repost.aws/knowledge-center/aws-control-tower-role-troubleshoot)

AWS Control Tower 랜딩존 해제 불가

답변 추가

관련 콘텐츠