新機能の実装

新機能については、以下5点を紹介します。

Amazon GuardDutyがマルウェア対策機能を追加

この機能はかなり話題になったので、記憶にある方も多いのではないでしょうか?

これは、EC2でマルウェアを疑われる操作が行われた場合、アタッチしているEBSに対してスキャンを行ってくれる機能です。もちろん純正のマルウェア対策ソフトと比べたら、できることはそれほど多くはありませんが、マルウェアの検知までの時間を大きく短縮できる機能かと思います。

この機能はOrganizationsと連携させることが可能で、Organizations配下のAWSアカウントに対して一括での有効化やアカウント作成時の自動有効化といったことを実現することが可能です。

Amazon GuardDutyの有効化のオプションが追加

こちらもGuardDuty関連のアップデートです。今までもOrganizations配下のAWSアカウントのGuardDutyを一括で有効化する機能はありましたが、このアップデートにより、有効化対象を細やかにコントロールできるようになりました。

前述のようなGuardDutyのアップデートにより、GuardDutyの機能が追加されてているので、最初からどの機能を有効化するか、といったことが選択可能になりました。

これにより、Organizations配下のAWSアカウントのGuardDutyの状態を把握しやすくなり、一律のレベルにそろえるのも容易になっています。

AWS Organizationsの一部のリソースがCloudformationに対応

このアップデートにより、OUやSCPなどをCloudFormationで管理できるようになりました。これまで、OrganizationsのレイヤーはCloudFormationに対応しておらず、IaCを行おうとするとTerraformなどのサードパーティ製品の利用が必要となっていました。

一部のエンタープライズユーザーは、複数のOranizationsを利用して運用していることもあり、OrganizationsレイヤーでのIaC化も必要としていた機能だったでしょう。これにより、いわゆる“マルチOrganizations”の管理も効率よく行えるようになったと思います。

Amazon VPC Reachability AnalyzerがOrganizations内のアカウント全体の到達性を確認可能

VPC Reachability Analyzerは、VPC内にあるリソースとリソースの通信到達性を確認できる機能です。これまでは同一AWSアカウント内の通信到達性しか確認できなかったのですが、このアップデートにより、Organizations配下のAWSアカウント間の通信到達性を確認できるようになりました。

AWSリソース間でうまく通信ができないといった問題に直面することはよくあります、この機能により解決できる範囲が広がったと思います。

アップデート自体はVPC Reachability Analyzerに関するものですが、Organizationsに影響するものだったため、紹介しました。

Amazon Cloudwatchのクロスアカウントオブザーバビリティ

この機能は特定のAWSアカウントをモニタリングアカウントとして、そこに複数のAWSアカウントのCloudwatchのログ/メトリクス/トレースの情報を集約できる機能です。

Cloudwatchにはもともとクロスアカウント機能がありましたが、それと比較しても少ないステップで実現できるようになりました。

Organizationsと連携して、複数のAWSアカウントのCloudwatchの情報を簡単に集約することが可能です。それほど高機能ではないですが、単純にマルチアカウントのCloudwatchの情報を集約したいと考えている場合、ぜひとも利用を検討いただきたい機能です。