ControlTower 삭제 실패 문의

Question

ControlTower 랜딩 존 삭제 시 아래와 같이 에러가 발생하면서 삭제되지 않습니다.

랜딩 존을 해제하는 동안 오류가 발생했습니다. AWS Control Tower could not complete the DeleteLandingZone operation. Controls of type RCP or DECLARATIVE_POLICY_EC2 are enabled on an organizational unit. To continue, disable these controls and retry the DeleteLandingZone operation.

에러 메시지 내용으로는 OU에 붙은 RCP, EC2 정책이 있어서 삭제가 안된다고 하는 걸로 보입니다.
Organization의 서비스에서 RCP, EC2 정책 관련 서비스를 모두 비활성화 시키고 재시도 해도 동일합니다.

CC서비스에서 관련 제어 항목을 비활성화 시켜야 하나 싶은데 CC 삭제 진행 중이라 재시도 버튼 밖에 없어서 대시 보드 화면 진입이 안되네요ㅠ
관련해서 해결 방법 아실까요?ㅠ

re:Post Agent · Answer

AWS Control Tower 랜딩 존 삭제 실패 문제를 해결하기 위한 몇 가지 방법을 안내해 드리겠습니다.

이 오류는 Control Tower가 관리하는 OU에 RCP(Resource Control Policy) 또는 EC2 관련 선언적 정책이 여전히 활성화되어 있어 발생하는 것입니다. 랜딩 존 삭제 중에 대시보드에 접근할 수 없는 상황이라 어려움이 있으실 것 같습니다.

해결 방법은 다음과 같습니다:

1. AWS CLI를 통해 Control Tower 베이스라인 비활성화 시도:
```
aws controltower disable-baseline --enabled-baseline-identifier [베이스라인 ARN]
```

2. CloudFormation StackSets 확인 및 정리:
- Control Tower 관리 계정에서 CloudFormation StackSets로 이동
- AWS Backup 또는 정책 관련 베이스라인 StackSet 찾기
- 해당 StackSet의 'Stack Instances'에서 문제가 되는 OU와 관련된 스택 삭제

3. 수동으로 리소스 정리:
- CloudFormation에서 AWSControlTowerBP-* 패턴의 실패한 스택 삭제
- aws-controltower 관련 S3 버킷이나 CloudWatch 로그 그룹 확인 및 정리

4. AWS Organizations 서비스 접근 비활성화:
```
aws organizations disable-aws-service-access --service-principal controltower.amazonaws.com
```

5. 모든 계정에서 AWSControlTowerManagedRule 관리 규칙 삭제

위 방법으로도 해결되지 않는다면, AWS 지원 케이스를 열어 도움을 요청하는 것이 가장 효과적인 방법입니다. AWS 내부 지원팀이 Control Tower 메타데이터를 수정하여 문제를 해결할 수 있습니다.  
**Sources**  
[Removed OU with enabled AWS Backup blocks any operations on Control Tower's Landing Zone | AWS re:Post](https://repost.aws/questions/QU_cdOGS0-QNmZAQLfSc7oqg/removed-ou-with-enabled-aws-backup-blocks-any-operations-on-control-tower-s-landing-zone)  
[Control Tower set up landing zone problem | AWS re:Post](https://repost.aws/questions/QUF6oc0dLrTwKmtKLyjwomBw/control-tower-set-up-landing-zone-problem)  
[Setup after decommissioning a landing zone - AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/known-issues-decommissioning.html)  
[Decommission your landing zone with APIs - AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/lz-api-decommission.html)

ControlTower 삭제 실패 문의

답변 추가

관련 콘텐츠