AWS Identity Center のリージョンを東京へ移行した話

ueki.y

3日前

AWS Identity Centerのリージョンを変更したい！削除して再作成は安全？

AWS Identity Centerを使い始めたのですが、最初にus-east-1で設定してしまって、後からap-northeast-1（東京リージョン）に変更したくなりました。調べてみると、Identity Centerはリージョン間での移行機能がなく、一度削除して再作成するしかないようです。

でも削除って怖くないですか？何か設定したものが消えてしまうんじゃないかと心配になりますよね。そこで、安全に削除できるかどうかの判断方法をまとめてみました。

なぜリージョン変更が必要なのか

私の場合、最初は深く考えずにus-east-1で作成しましたが、以下の理由で東京リージョンに変更したくなりました：

CloudTrailやその他のサービスを東京リージョンで統一している
レイテンシの問題（まあ、そんなに体感差はないけど）
日本の法規制や社内ポリシーの関係
単純に管理しやすさの問題

現状の設定を確認してみる

削除前に、実際に何が設定されているかチェックしてみました。

Permission Setsの確認

Identity Centerコンソールの左メニューから「Permission sets」を開いてみると…

結果：0 permission sets と表示

よかった、何も作っていませんでした。もしここで何かのPermission Setが表示されていたら、削除は危険です。

ユーザーとグループの確認

続いて「ユーザー」と「グループ」もチェック。

結果：

ユーザー: 0 users
グループ: 0 groups

こちらも空っぽです。実際、まだ誰もIdentity Center経由でのアクセスは設定していませんでした。

AWS accountsの状況

「AWSアカウント」のページを見ると、組織内のアカウントは表示されていますが、「Permission sets」の列がすべて「-」になっています。

これは、どのアカウントにもPermission Setが割り当てられていないことを意味します。

アプリケーションの確認

「アプリケーション」を見ると、「AWS Account」だけが表示されています。これはデフォルトで作成されるもので、外部のSaaSアプリケーションなどは何も追加していません。

削除しても大丈夫そう

確認した結果、以下の状態でした：

✅ Permission Sets: 0個
✅ Users: 0人
✅ Groups: 0個  
✅ Account Assignments: なし
✅ External Applications: AWS Accountのみ

これなら安全に削除できそうです。

念のためCLIでも確認

コンソールだけでは不安だったので、AWS CLIでも確認してみました。

aws sso-admin list-permission-sets \
    --instance-arn arn:aws:sso:us-east-1::instance/ssoins-xxxxxxxxxxxxxxxxx \
    --region us-east-1

結果：空の配列が返ってきました。やはり何も設定されていません。

実際に削除してみた

勇気を出して削除してみることに。

Identity Centerコンソールの「設定」に移動
画面下部の「管理」タブを選択
「IAM Identity Centerインスタンスを削除」セクションで右側の青い「削除」ボタンをクリック
確認画面でチェックボックスをすべて選択
指定された内容を入力して「確認」をクリック

数分で削除が完了しました。特にエラーも出ず、スムーズでした。

東京リージョンで再作成

削除後、東京リージョン（ap-northeast-1）でIdentity Centerを有効化しました。

今度は最初から東京リージョンで設定できて、すっきりしました。既存のIAMユーザーやロールには一切影響がなく、安心です。

気をつけるべきケース

もし以下のような設定をしていた場合は、削除は慎重に検討する必要があります：

Permission Setを作成済み：実際にアクセス権限を管理している
ユーザーやグループを追加済み：チームメンバーがIdentity Center経由でアクセスしている
外部アプリケーションを連携済み：SalesforceやSlackなどのSSOを設定している

これらがある場合は、削除すると業務に影響が出る可能性があります。

重要な注意点

削除確認画面には重要な警告が表示されます：

このアクションでは、IAM Identity Centerで設定したすべてのアプリケーション、AWSアカウントとクラウドアプリケーション用に設定したユーザー割り当て、AWSアカウント用に設定した許可セットなど、このIAM Identity Centerインスタンスのすべてのデータが削除されます。

つまり、設定済みの内容がある場合は、すべて失われてしまいます。

まとめ

結論として、Identity Centerを有効化しただけで実際の設定をしていない状態なら、安全に削除してリージョン変更できます。

ただし、削除前には必ず現在の設定状況を確認することをお勧めします。特にPermission Setsとユーザー管理の部分は重要なので、慎重にチェックしてくださいね。

私のように「とりあえず有効化したけど、まだ本格運用していない」という方には、この方法でリージョン変更できると思います。削除の際は、コンソールに表示される警告文をしっかり読んで、本当に影響がないか最終確認してから実行しましょう。