[アップデート]AWS Backup Audit Manager の管理をメンバーアカウントに委任できるようになりました

はじめに

AWS Backup Audit Manager の管理をメンバーアカウントに委任できるようになりました。

Backup Audit Manager は、AWS Backupによって、組織内のアカウントが適切にバックアップ取得されているかチェックするフレームワークと、その結果を出力するレポート機能の2つがあります。

2021年にリリースされた機能です。

うれしい点

本来、管理アカウントへのアクセスは、組織に変更を加える権限を持つ管理者ユーザーのみに限定されるべきです。

したがって、管理タスクは原則として管理アカウントでしかできないタスクに限定し、メンバーアカウントへの委任が可能なタスクはできる限り委任すべきというのがベストプラクティスです。

今回のアップデートによって委任できることが増えたため、ベストプラクティスに従い、メンバーアカウントへの委任を検討しましょう。

やってみた

管理者アカウント側でメンバーアカウントに委任

まず、管理者アカウント側で、Backupサービスからメンバーアカウントへの委任を行います。

委任したいメンバーアカウントを選択します。

メンバーアカウントの委任を設定を完了しました。

レポート作成

メンバーアカウント側に移動し、Backup Audit Managerでレポートを作成します。

レポート名は、日本語ではなく英語で命名する必要があります。

レポートの対象アカウントは、先程の委任設定によって、組織内アカウントも選択できるようになっています。

レポートの保存先であるS3のバケットも選択します。

ただし、バケットポリシーの編集が必要となるため、先に[アクセス許可をコピー]を行い、[バケットポリシー編集]から修正しておきます。

レポートの出力形式

なお、レポート作成画面で[組織内の1つ以上のアカウント]の場合、レポートのファイル形式は選べません。

ただし、[自分のアカウントのみ]を選択すると、レポートの出力形式がCSVとJSONを選択できます。

後述しますが、[組織内の1つ以上のアカウント]の場合、レポートは、CSV形式でS3バケットに保存されます。

委任されていない場合

ちなみに、委任していない場合のメンバーアカウントでのレポート作成画面は、以下のように自分のアカウント以外の組織内アカウントは選択できません。

レポート結果

レポートの作成を即時に行いたい場合は、[オンデマンドレポートを作成]をクリックします

レポートはすぐに作成され、[レポートリンク]からS3バケットに保存されたレポートをダウンロードできます。

レポートは、CSV形式でした。

委任を解除する場合

委任された管理者の登録を解除したい場合、[登録を解除]から、登録解除できます。

ただし、「登録を解除」と入力する必要があります。「登録解除」と入力しても登録を解除できません。。

最後に

Backup Audit Manager管理をメンバーアカウントに委任することが可能になりました。

ベストプラクティスに従い、メンバーアカウントへの委任をぜひ検討しましょう。

参考