AWS Organizations における統合と委任について整理する

記事タイトルとURLをコピーする

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。

今回はAWS Organizations でよく利用される「統合」と「委任」について整理してみます

AWS Organizations のおさらい

AWS Organizations とは要約すると、ユーザーが管理する「組織」と呼ばれる管理単位に1つ以上のAWSアカウントを統合することで、複数のAWSアカウントを効率的に一元管理することができるアカウント管理サービスです。一元管理をする上で、組織の長となるAWSアカウントを「Management Account」と呼び、その他のAWSアカウントを「Member Account」と呼びます。

詳細については以下のブログをご覧ください

blog.serverworks.co.jp

AWS Organizations の統合と委任

概要

AWS Organizations における統合と委任について簡単にまとめると以下の表の通りです。

機能  概要
統合 AWS Organizations 配下のAWSアカウントで利用するAWSサービスのタスクをManagement Account で代理実行し、集約管理することができます。
(例)Security Hub の検出結果をManagement Account に集約する
委任 通常AWS Organizations の統合によって集約されるAWSサービスの管理者はRoot OU配下のManagement Account となりますが、管理者を他のAWSアカウントに鞍替えする(権限委譲)ことができます
(例)Security Hub の統合における管理者権限をセキュリティ専用のAWSアカウントへ委譲する

サポートしているAWSサービス

以下、2023年5月現在で統合と委任をサポートしているAWSサービス一覧です。サポートされるAWSサービスは順次追加されています。

AWSサービスによっては統合と委任にあたっての留意事項がありますので、AWS公式ドキュメントで最新情報をご確認頂いた上で利用をご検討ください。

docs.aws.amazon.com

サービス 統合 委任
AWS Account Management
AWS Artifact
AWS Audit Manager
AWS Backup
AWS CloudFormation Stacksets
AWS CloudTrail
AWS Compute Optimizer
AWS Config
AWS Control Tower
Amazon Detective
Amazon DevOps Guru
AWS Directory Service
AWS Firewall Manager
Amazon GuardDuty
AWS Health
IAM Access Analyzer
Amazon Inspector
AWS License Manager
Amazon Macie
AWS Marketplace
AWS Network Manager
AWS Resource Access Manager
AWS Security Hub
Amazon S3 Storage Lens
AWS Service Catalog
Service Quotas
AWS IAM Identity Center
AWS Systems Manager
Tag policies
AWS Trusted Advisor
AWS Well-Architected Tool
Amazon VPC IP Address Manager (IPAM)
Reachability Analyzer

統合

言葉だけの説明だとイメージが湧きにくいと思いますので、Security Hub を例に統合と委任のイメージをもう少し詳しく考えてみます。

統合の利用イメージ

統合

AWS Organizations 配下の各AWSアカウントでSecurity Hubを利用する場合、通常はそれぞれのAWSアカウントでSecurity Hubを有効化し、検出結果を確認の上で必要な対応を行います。しかし、AWS Organizations 組織の管理者としては以下のような管理をしたいと考えています。

  • Security Hub が漏れなく有効化できているかを確認、管理したい
  • Security Hub の検出結果をまとめて集約管理し、必要に応じて各AWSアカウントの管理者と連携したい

この場合、通常は以下の対応を取ることになります。

  • Security Hub が漏れなく有効化できているかを確認するために各AWSアカウントにログインして確認する
  • Security Hub の検出結果を確認するために各AWSアカウントにログインして確認の上で、各AWSアカウントの管理者と連携したい

管理者の立場からすると、各AWSアカウントに個別にログインするのはとても面倒です。そこで便利な機能がAWS Organizations の「統合」です。

統合を利用すると、対応方法が以下のように変化します。

  • Security Hub が漏れなく有効化できているかどうかをManagement Account で確認する
    • Security Hub の場合、自動有効化機能も利用できるため新規AWSアカウントが発行されたとしても自動で有効化することが可能
  • Security Hub の検出結果はManagement Account で確認する
    • 各AWSアカウントで検出されたSecurity Hub の検出結果はManagement Account に連携される

このように統合を利用することで、AWS Organizations 組織の管理者はManagement Account にログインするだけで各AWSアカウントの状況を一元管理することができます。

統合を有効化する

AWS Organizations で統合を有効化することができるのはManagement Account だけです。

有効化する手順としては、AWS Organizations のコンソール画面を開き、左メニューバーの「サービス」をクリックします。すると統合可能なAWSサービスの一覧が表示されますので、Security Hubをクリックして「信頼されたアクセスを有効にする」をクリックすればOKです。

Security Hub の統合

AWS CLI を利用する場合は以下のコマンドで有効化することができます。

aws organizations enable-aws-service-access --service-principal securityhub.amazonaws.com

委任

委任の利用イメージ

委任

統合を利用することによって、AWS Organizations 組織の管理者はManagement Account 上でサポートされているAWSサービスについて一元管理することができるようになります。しかし、統合がサポートされているAWSサービスは多岐に渡るため管理者が1名で全てを管理することは現実的ではありません。そこで登場するのが「委任」です。委任を利用すれば、管理者を他のAWSアカウントに鞍替えする(権限委譲)ことができるため、管理者自身の負荷が軽減されます。

ここで会社組織を例に挙げて考えてみます。会社組織における長は「社長/代表取締役」です。創業当初は事業は1つしかないため、社長1人で事業を管理することができます。しかし、会社が順調に成長して手掛ける事業も増えてくると社長1人では管理しきれなくなります。そうなると「組織化による分業」という考えが出てきます。例えば、組織を「部」という単位で分割し、長として「部長」を配置するといったことが行われます。つまり、社長(管理者)が持っていた権限が部(部長)へ委譲されて分業が進んでいきます。

これをAWS Organizations 組織と照らし合わせてみると以下の表のようになります。これはあくまで私の主観ではありますが、AWS Organizations について考える際は「会社組織」に置き換えて考えてみるとイメージしやすいです。

会社組織 AWS Organizations 組織
社長1人で事業を管理 AWSアカウント1つでシステムを管理
会社が成長して事業が増加 AWSアカウントの数が増加
組織化による分業 AWS Organizations を利用し、AWSアカウントをOU単位でユニット管理
社長が持っていた権限や責任を事業部(部長)へ委譲 Management Account が持っていた管理者権限をMember Account へ委任することで権限を委譲

委任を有効化する

AWS Organizations で委任を有効化することができるのはManagement Account だけです。

委任を有効化する際は以下の2つの方法があります

  • 委任したいAWSサービスのコンソール画面から委任を行う
  • AWS CLI を利用して委任を行う

AWSサービスによってはコンソール画面から委任を実施できないケースもあるため、AWS CLI で実行するのが確実です。

ちなみに今回例として挙げているSecurity Hub の場合はコンソール画面から委任することも可能です

Security Hub の委任

AWS CLI を利用する場合は以下のコマンドで有効化することができます。

aws organizations register-delegated-administrator --account-id <アカウントID> --service-principal securityhub.amazonaws.com

まとめ

今回はAWS Organizations でよく利用される「統合」と「委任」について整理してみました。普段何気なく利用していても、いざ言語化するとなると難しいと改めて実感しました。これからも精進します。

山﨑 翔平 (Shohei Yamasaki) 記事一覧はコチラ

2019/12〜2023/2までクラウドインテグレーション部でお客様のAWS導入支援を行っていました。現在はIE(インターナルエデュケーション)課にて採用周りのお手伝いや新卒/中途オンボーディングの業務をしています。2023 Japan AWS Top Engineers/2023 Japan AWS Ambassadors