こんにちは。
突然ですがAWSアカウントを閉鎖したことはありますか?私はもあります。
閉鎖にあたって知っておくとよいことをまとめてみます!
実際の閉鎖は90日後
アカウントを閉鎖してから90日間は、アカウントを再開することができます。
再開する場合はAWSサポートに連絡すればOKです。逆に90日を超えると一切再開できなくなるので注意しましょう。
閉鎖ができるのはrootユーザのみ(スタンドアロン環境)
スタンドアロン環境においてAWSアカウントを閉鎖できるのはrootユーザのみです。IAMユーザ/ロールでは閉鎖はできません。rootユーザでアカウントにログインできない状態の場合、まずはログインできるよう認証情報の再設定が必要となります。再設定が必要になってしまった場合、登録時のメールアドレスや電話番号を利用できないと困ったことになる可能性があるので連絡先が変わったら忘れず更新するようにしましょう。
なお、Organizations環境下のメンバーアカウントであればrootユーザでなくても閉鎖が可能です。
メールアドレスは再利用不可
閉鎖したAWSアカウントが利用していたメールアドレスを使って、AWSアカウントを新規作成することはできません。必要な場合はメールアドレスを閉鎖前に変えましょう。
ハードウェアTOTPを解除する
閉鎖したAWSアカウントでハードウェアTOTPを使用していた場合、同じハードウェアTOTPを別のAWSアカウントで使用することはできません。あらかじめ解除しておきましょう。なお、現在ではハードウェアTOTPよりFIDO2のセキュリティキーのほうがAWSにより推奨されている点は頭の片隅に入れておくとよいと思います。
物理的な MFA デバイスを使用する場合は、ハードウェア TOTP デバイスの代わりに FIDO セキュリティキーを使用することをお勧めします。
Savings Plans/RIは引き続き課金
AWSアカウントを閉鎖したとしても、購入済みのSavings Plans, RIについては引き続き課金が発生します。期限が残っているRIをAWSの利用者間で売買するReserved Instance Market Placeは日本人にとっては敷居が高い(米国の住所が必要)です。アカウントの閉鎖が見込まれる場合にはRI/SPの購入は控えましょう。
マーケットプレイスの解約を忘れずに
アカウントを閉鎖したとしても、AWSマーケットプレイスのサブスクリプションは勝手に解除されません。継続的に課金が発生するのでマーケットプレイスの解約をアカウントの閉鎖の前に行いましょう。
ログ/証跡を保全する
CloudTrailやConfig Snapshotなどの証跡を自アカウントのバケットに保存している場合、アカウントの閉鎖に伴って消えてしまいます。他のアカウントのバケットに退避しましょう。
なお、マルチアカウント環境においてはログ/証跡保存用の専用のAWSアカウントを用意するのがベストプラクティスになっています。マルチアカウントの場合は検討するとよいでしょう。なおこの場合証跡をKMSで暗号化していると、アカウント閉鎖後にログを読めなくなるのでその点は注意が必要です。
データを退避する
アカウント閉鎖後は当然アカウント内に保存されているユーザのデータにはアクセスできません。必要なデータは退避しましょう。
おわりに
アカウントを閉鎖にあたって知っておくとよいことをまとめました。
何かのお役に立てば幸いです。