[アップデート] Amazon VPC Reachability AnalyzerがAWS Organizations配下のアカウント間ネットワーク到達性分析をサポートしました #reInvent

Amazon VPC Reachability Analyzerがアカウントを超えてきました。ぜひ試してほしいアップデートの1つです。
2022.12.01

こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。

Amazon VPC Reachability AnalyzerがAWS Organizations配下のアカウント間ネットワーク到達性分析をサポートしました!

これまでは、同じAWSアカウント内にあるAWSリソース間のネットワーク到達性を分析することのみが可能でした。今回のアップデートで、AWS Organizations配下にあるアカウント間でネットワーク到達性を分析可能になりました。

結論

  • アカウント間の到達性分析は管理アカウントまたは管理者権限を委任されたメンバーアカウント(以後、管理者権限を持ったアカウント)で実行する
    • メンバーアカウントから、管理者権限を持ったアカウント向けにリソースに到達性分析はできない
  • 本機能を利用するには、信頼されたアクセスの有効化が必要。
    • 管理者権限を持ったアカウントで有効化を行う
  • 信頼関係の作成を行うと、2種類のロールが作成される
    • AWSServiceRoleForReachabilityAnalyzer
    • IAMRoleForReachabilityAnalyzerCrossAccountResourceAccess
  • IAMRoleForReachabilityAnalyzerCrossAccountResourceAccessは管理者権限を持ったアカウントのrootに対してAssumeRoleしている

やってみた

今回は管理者権限を持ったアカウントと、メンバーアカウントの2つのアカウントを利用して到達性分析を行います。VPC間はVPC Peeringを利用して接続します。

信頼関係の作成

アカウント間の到達性分析は、AWS OrganizationsでIAMロールを作成する必要があります。

管理者権限を持ったアカウントのNetwork Managerコンソールで「信頼されたアクセス」を有効化します。

信頼されたアクセスのオンオフ切り替えを簡単にできるポイントがとても良いなと思いました。

また、今回のアップデート当初からアカウントの委任を行える点とてもイイなと思います。(ネットワーク分析用のアカウントを作ってみたいです。)

作成されるIAMロール

信頼されたアクセスを有効化すると、管理者権限を持ったアカウントとメンバーアカウントでIAMロールが最大2種類作成されます。

  • AWSServiceRoleForReachabilityAnalyzer
    • 管理者権限を持ったアカウント、メンバーアカウントの両方で作成される
    • reachabilityanalyzer.networkinsights.amazonaws.comをAssumeRoleしている
    • AWS管理ポリシーの「AWSReachabilityAnalyzerServiceRolePolicy」がアタッチされている
  • IAMRoleForReachabilityAnalyzerCrossAccountResourceAccess
    • メンバーアカウントで作成される
    • 管理者権限を持ったアカウントのrootに対してAssumeRoleしている
    • AWS管理ポリシーの「AWSDirectConnectReadOnlyAccess」と「AmazonEC2ReadOnlyAccess」がアタッチされている

分析

分析を実行してみます。管理者権限を持ったアカウントのNetwork Managerコンソールから、VPC Reachability Analyzerを実行します。

管理者権限を持ったアカウントの場合、「ソースアカウント」、「送信先アカウント」が表示されるようになります!

パスの詳細画面からも「どのアカウントの何なのか」がしっかり明記されていて良きでした。

補足

テンポが悪くなりそうなので、分けて記載してみました。

今回のメンバーアカウントへのIAMロールの作成には「CloudFormation StackSets」という機能を利用して実装しています。

CloudFormation StackSetsとは何?という方は以下も重ねてご覧いただけると嬉しいです。

バージニア北部リージョンに「ReachabilityAnalyzerCrossAccountResourceAccessStackSet」というStackSetを作成するため、リージョン別で制限しているなどがあれば注意が必要です。

まとめ

以上、「Amazon VPC Reachability AnalyzerがAWS Organizations配下のアカウント間ネットワーク到達性分析をサポートしました」でした!

アカウントを超えた通信が確認できる今回のアップデートは、マルチアカウント戦略には大変便利な機能な印象です。

クラスメソッドでは、AWS Organizationsを利用可能な「組織管理プラン」が提供されています。今回のアップデート機能も利用可能ですのでぜひご検討いただけますと幸いです。

以上、AWS事業本部コンサルティング部のたかくに(@takakuni_)でした!