お知らせ: 酷似サイトにご注意ください

連載

第1回

AWS Organizations連携サービス最新情報＆セットアップのコツ

AWS Organizations連携サービスの最新アップデート情報

掲載日 2023/07/12 11:30

著者：奥村康晃

目次

1

委任管理者をサポート

AWS IAM Identity Centerが委任管理者をサポート

AWS CloudTrailが委任管理者をサポート

SCPが委任管理者をサポート

AWS Compute Optimizerが委任管理者をサポート

2

Amazon GuardDutyがマルウェア対策機能を追加

Amazon GuardDutyの有効化のオプションが追加

AWS Organizationsの一部のリソースがCloudformationに対応

Amazon VPC Reachability AnalyzerがOrganizations内のアカウント全体の到達性を確認可能

Amazon Cloudwatchのクロスアカウントオブザーバビリティ

目次を開く

AWS Organizationsは、Amazon Web Service（AWS）のアカウントとリソースを一元管理できるサービスです。同サービスはAWSが提供するさまざまなサービスと連携できます。

以下の記事で、AWS Organizations連携サービスをオススメ度に応じて3つに分類し、紹介しました。

その後の1年間で、AWS Organizations連携サービスにおいて、非常に多くのアップデートが発表されました。そこで本連載では、それらのサービスから筆者が押さえておくべきと考えているアップデートを紹介します。

加えて、AWS Organizations連携サービスを利用しようとすると、初期セットアップ時にハマりやすいポイントが存在します。本連載では、AWS Organizations連携サービスの初期セットアップの方法も紹介していきます。

今回は、AWS Organizations連携サービスの最新アップデートのポイントを紹介します。アップデートのポイントを大別すると、以下の2つになります。

委任管理者をサポート
新機能の実装

「委任管理者をサポート」は、一見地味なアップデートのように感じられるかもしれませんが、管理アカウントでの操作を不要にする点が大きなポイントです。管理アカウントは請求データなどのセンシティブな情報を多く参照可能なので、極力通常運用では利用しないことがベストプラクティスとされており、AWSアカウントを安全に運用していく意味では非常に大きなアップデートです。

「新機能の実装」は、新たにAWS Oranizationsとの連携を実現する機能を紹介いたします。集中管理や一括設定が可能になるなど、運用面での効果が高いアップデートです。

それぞれについて、ここ1年間で発表されたアップデートから抜粋して紹介します。

委任管理者をサポート

委任管理者による操作が可能になったサービスは、「AWS IAM Identity Center」「AWS CloudTrail」「SCP」「AWS Compute Optimizer」となります。

AWS IAM Identity Centerが委任管理者をサポート

AWS Single Singn-Onから名称変更されたIAM Identity Centerは、マルチアカウント環境でシングルサインオンを実現するサービスです。多くの方が利用しているサービスなのではないでしょうか。

これまで、ユーザーの追加や権限設定などは、管理アカウントでの操作が必要でしたが、このアップデートにより委任管理者アカウントでの操作がIAM Identity Centerの管理を完結可能になりました。

AWS CloudTrailが委任管理者をサポート

AWSでのすべての操作履歴を記録するCloudTrailは、ほぼすべての方が利用しているサービスかと思います。

同サービスもアップデート前は、管理アカウントからしか組織の証跡と呼ばれるOrganizations配下のすべてのAWSアカウントのCloudTrailログを集約する機能の設定は行えませんでした。

このアップデートにより、組織の証跡の設定を委任管理者アカウントで実現できるようになり、主だったセキュリティ関連サービスを管理アカウント以外で設定可能となりました。

監査などの用途でログアーカイブ用の専用のAWSアカウントを作っている方も多いと思いますが、これによりそうした専用のAWSアカウントでの操作で完結でき、セキュリティ担当者の方にとっては非常にうれしいアップデートとなったのではないでしょうか。

SCPが委任管理者をサポート

SCPはマルチアカウントに対して一括で権限制御を行うことができる機能です。このアップデートにより、SCPの操作を委任管理者アカウントで実施することが可能となりました。

SCPは多くの方が利用している機能だと思うので、うれしいアップデートではあるのですが、1つ注意点があります。このアップデートでは、OUと呼ばれるAWSアカウントをまとめるグループの操作は対象外で、引き続き管理アカウントしか持たないままとなっています。

SCPとOUはセットで利用することが多い機能なので、片手落ちだとがっかりしている方もいるかもしれません。注意喚起の意味もこめて、取り上げました。

AWS Compute Optimizerが委任管理者をサポート

Compute Optimizerは、過去のCPU使用状況をもとに最適なコンピュートリソースをレコメンドしてくれるサービスです。コスト最適化を目的に利用されている方も多いと思います。

複数のAWSアカウントの状況を横断的に確認するには、管理アカウントでの操作が必要でしたが、このアップデートにより委任管理者アカウントでの操作が可能になりました。

複数のAWSアカウントのコスト管理をされている人にとっては有益なアップデートだと思います。

次へ：

1 2

この連載の前後回

この連載のバックナンバー

新規無料会員登録はこちらから

ログイン／無料会員登録

会員サービスの詳細はこちら

AIが勧める、あなたのための会員限定記事

アクセスランキング

AWS re:Invent 2024基調講演、新CEOのGarman氏がお目見え- Jassy氏は新基盤モデル発表

2024/12/04 18:19 レポート

ランキングをもっと見る

もっと見る

編集部が選ぶ関連記事

※本記事は掲載時点の情報であり、最新のものとは異なる場合があります。予めご了承ください。

新着記事

こちらも注目

このカテゴリーについて

クラウドを実現するテクノロジー、IaaSやPaaSなどのクラウドサービス、クラウドサービスを提供するベンダーの情報を提供します。