今回は、2023年7月の本連載の開始以降に発表されたAWS Organizationsに関連したアップデートの中から筆者が押さえておくべきと考えているアップデートを紹介します。

初回では、今回と同様にOrganizationsに関連したアップデートを紹介しました。その際は、管理アカウントでの操作を不要にする点がポイントとなり、各種AWSサービスが委任管理者をサポートした点を大きく取り上げました。

今回はAWSサービスがOrganizationsと連携することで機能を拡充したアップデートを中心に紹介します。

AWS Health

AWS HealthはAWSリソースに関するイベントを通知してくれるサービスです。障害やメンテナンスなど利用者にとって影響があるイベントが通知されるため、システムの安定運用上とても役に立つサービスです。そのAWS Healthに関する2つのアップデートを取り上げます。

AWS Healthが委任管理者のサポートを開始

AWS Healthでは、Organizations配下の全AWSアカウントのヘルスイベントを集約して表示する組織ビューの機能がありましたが、このアップデート以前は管理アカウントでしか組織ビューを確認できませんでした。

管理アカウントは通常運用では利用しないことがベストプラクティスとされており、このアップデート以前は組織ビューを活用しにくい場面があったのではないかと思います。

このアップデートにより、委任管理者をサポートされたため、管理アカウント以外でも組織ビューを参照できるようになりました。自社内の全AWSアカウントでどのようなヘルスイベントが出ているかを確認しやすくなり、うれしい方も多かったのではないかと思います。

AWS Healthが組織内のヘルスイベントを管理者のAmazon EventBridgeで検知可能に

AWS Healthで通知されるヘルスイベントは重要な情報が多いため、イベント検知時に、メールやチャットツールなどにも通知させる運用をされている方は多いでしょう。

先に挙げた組織ビューを使って、Organizations配下の全AWSアカウントのヘルスイベントをマネジメントコンソール上で参照することはできますが、これをメールなどで通知しようとする場合は、各メンバーアカウントでEventBridgeルールを作成する必要がありました。

この方法以外にも、AWS社から提供されているAWS Health Awareをデプロイすることでも実現可能でしたが、いずれにしてもひと手間が必要でした。

このアップデートにより、AWS Healthの委任管理者のAWSアカウント内だけに、EventBridgeルールを作るだけで、メール等への通知が実現できるようになりました。

  • アップデート前の構成

  • アップデート後の構成

各AWSアカウントの管理チームだけではなく、CCoE(Cloud Center of Excellence)など全社横断で管理をしている組織にも通知をさせたいというようなケースで非常にうれしいアップデートであると感じています。

AWS IAM

続いて、AWSサービスへのアクセス制御を行うIAMに関するアップデートを2つ紹介します。

AWS IAMでAWS Organizationsを条件としたAWSサービス間のアクセス制御が可能に

このアップデートにより、KMSやS3といったサービスを使う際に、特定のOrganizations配下からのみアクセス許可をしたいというユースケースを実現しやすくなります。

以前、Configに関するセットアップ手順を紹介した際に、「Configから書き込みかつ自組織からのアクセスのみを許可するという設定」が当時のサービス仕様上、実現できないことを説明しました。こうしたケースに対応できるアップデートです。

具体的にはaws:SourceOrgIDとaws:SourceOrgPathsという2つの条件キーが追加されており、前者は特定のOrganizationsからのアクセスを許可する場合に利用し、後者はOrganizationsの特定のOUからのアクセスを許可する場合に利用します。

Organizations連携をする際には、KMSやS3などのリソースポリシーを考慮しなければならないことが多く、設計を悩まれる場合もあったのではないでしょうか。リソースポリシーの実装をシンプルに実現できるこのアップデートは大変うれしいものではないかと思います。

IAM Access Analyzerで、未使用アクセスの検査が可能に

IAM Access Analyzerは、Cloudtrailのログをもとに、どのIAMリソース(IAMユーザやIAMロール)がどのようなAWSサービスのアクションを利用しているかを分析できるサービスです。

このアップデートにより、過剰に付与されている権限や特定の期間利用されていないIAMユーザやIAMロールを検査することが可能となりました。

この機能は最初からOrganizations連携が可能で、Organizations配下の全AWSアカウントにて前述の分析が行えます。IAMのセキュリティベストプラクティスである、最小特権アクセス許可を適用する未使用のユーザー等の定期的な確認と削除の実現に役立ちますので、積極的に利用していきたい機能だと思います。

ですが、コストには注意が必要です。1つのIAMユーザーまたはIAMロールの分析を行うごとに0.20USDが月額として発生します。Organizations配下を一気に分析してしまうと、非常に高額な料金が発生しうるため、ご注意ください。

その他

AWS HealthとAWS IAM以外でも紹介したいアップデートがありますので、最後に2つ紹介します。

AWS Systems ManagerをAWS Organizations内すべてのEC2インスタンスに対してデフォルトで有効化

このアップデートにより、Organizations配下の全AWSアカウントのEC2インスタンスをデフォルトでマネージドノード(インスタンス)に設定できます。リンク先の公式ドキュメントに記載のとおり、マネージドノードはAWS Systems Manager用に設定されたインスタンスのことで、Systems Manager Session Managerなど、運用管理の上で便利な機能を利用できるようになります。

AWSアカウント内のすべてのEC2インスタンスをマネージドノードにする機能は、Default Host Management Configurationと呼ばれるもので、このアップデート以前から利用可能でした。このアップデートにより、Organizations配下のAWSアカウントのDefault Host Management Configurationを一括で変更することが可能となったため、前述のとおり、Orgaznizations配下の全AWSアカウントのEC2インスタンスがSystems Managerの機能をデフォルトで利用できるようになっています。

EC2の運用を考えると、Systems Managerの利用はなくてはならないため、メンバーアカウントごとに設定せずに一括で設定ができるようになったのは、非常にうれしいアップデートといえます。

AWS Resource ExplorerでAWS Organizations内のリソース検索をサポート

Resource Explorerは、AWSアカウント内で利用されているAWSリソースを横断的に確認ができるサービスです。このアップデートにより、Organizations配下のすべてのAWSアカウント内のAWSリソースを横断的に確認できるようになりました。

例えば、SCPでの制御を検討する際など、Organizations配下にあるAWSアカウントでどのAWSリソースが利用されているかを確認したいといったユースケースで活用できます。

また、Resource Explorerは無料なので、簡単に始めやすいところもメリットです。ただし、Resource ExplorerはすべてのAWSリソースに対応しているわけではない点に注意が必要です。

本稿執筆時点では、例えばAmazon GuardDutyは対応していないため、その使用状況を確認したい場合は、AWS Configを利用する必要があります。またResource Explorerでは、AWSリソースの設定値を確認することもできないため、ユースケースに応じてConfigとの使い分けをしていただければと思います。

まとめ

今回は、2023年7月の本連載の開始以降に発表されたOrganizations関連のアップデートから 、筆者目線で注目すべきと考えたものを6つ紹介しました。次回以降は再びOrganizations関連のサービスのセットアップ手順やハマりポイントについて説明します。