AWS Control Tower 別AWSアカウント招待 VPCFlowLogsロール無い
Control Towerの設定関係で、Account Factoryから作ったアカウントと、
Organizationで招待した別アカウントで、ロールの状態が違ったのでメモ。
AWS Control TowerのAccount Factoryからアカウントを作成した場合、VPCFlowLogsのロールが自動作成されていた。
しかし、Organizationで招待した別アカウントをAWS Control Tower配下にしたところ、VPCFlowLogsのロールが無かった。
対応方法は
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-cwl.html#flow-logs-iam
ここに記載の通り、「CloudWatch Logsに発行するフローログの作成」で対応できた。
だが、少しはまったのが、ロール名。
Account Factory から作ったアカウントに付与されるロール名は、「AWSControlTower_VPCFlowLogsRole」となる。
しかし、同じ名前でロールを作成しようとするとエラーとなり、下記のようなメッセージが出る。
そこで、似たような「aws_controlTower_VPC_FlowLogs_Role」などの名前にするとロールが作成される。
試行錯誤して招待したアカウントなので、何が正しいか、まだわからず。
いまは、VPCフローログを、CloudWatch Logsに流す設定ができた。
何かご存じの方、Twitterなどへコメント頂けますと幸いです。