Control Towerを再登録しようとしたら'AWSServiceRoleForAWSControlTower' has a conflictと表示されて詰みかけた話

Last updated at 2025-05-13Posted at 2025-05-13

はじめに

1年ほど前にお遊びでControl Towerを有効化しましたが、諸々の課金を抑えるために撤退してしまいました。仕事で使いそうな感じがしてきたので練習がてら個人環境で構築してみるかと思い立ちいざ構築を開始。
すると、大半の設定は完了したものの、'AWSServiceRoleForAWSControlTower' has a conflictというエラーがあちこちのAWSアカウントを登録する際に頻発してしまいました。解決方法は意外と単純でしたが、備忘ログとして残しておきます。

解決方法(急いでいる人用)

Control Towerを有効にしているアカウントで AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLEのStackSetからエラーとなっているAWSアカウントのスタックを削除することで解消する。

解決に至るまで

失敗している画面

見事にエラーが出まくってます。情報の部分を開くと押すと「AWSControlTowerExecutionはあるか？」、「STSがホームリージョンで無効になってないか？」と聞かれますが、実際はどちらも原因ではないのです。

OUのページを開くとこのような感じでエラー文が出ておりました。

AWS Control Tower failed to deploy one or more stack set instances: StackSet Id: AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE:f0272774-fd45-49d7-8944-5d6f5f06b950, Stack instance Id: arn:aws:cloudformation:ap-northeast-1::stack/StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-95a2c096-22b7-466f-8ee5-039bd996158a/1e275ed0-aaa0-11ee-96d0-06f707923661, Status: INOPERABLE, Status Reason: ResourceLogicalId:ControlTowerServiceRole, ResourceType:AWS::IAM::ServiceLinkedRole, ResourceStatusReason:Resource of type 'AWS::IAM::ServiceLinkedRole' with identifier 'AWSServiceRoleForAWSControlTower' has a conflict. Reason: SLR [AWSServiceRoleForAWSControlTower] is in use by other resources: [[RoleUsageType(Region=ap-northeast-1, Resources=[arn:aws:organizations:::account/o-in4yelf0gu/])]]

ざっくり要約すると「AWSServiceRoleForAWSControlTowerというロールがすでに存在しているのでデプロイできないよ」という意味合いになります。

では削除しよう

言われた通り削除しようと、子アカウントのIAMのページに遷移し検索を実施したところ、、、

そうです。そんなロールは元からなかったのです。

じゃあどうする

そうだGeminiに相談だ！と聞いてみるが、特に良い回答はもらえず。挙句の果てには「ちゃんとコピペしてロールを検索してますか？」とちょっと怒られる始末。。。

見えた一筋の光

何度もControl Towerへの登録を試してみると、このロールを作成する「AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE」というStackSetの更新がスキップされているような挙動を発見。つまり、OUの再登録をしようとしてもこのStackSetが更新されないことからエラーが出続けていることが判明。
ちなみにStackSetのエラー文も同じようなもの。