[アップデート]AWS BackupがOrganizationsで委任できるようになりました

2022.11.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。たかやまです。

AWS BackupでもOrganizationsで管理者の委任ができるようになりました!
今回はこちらのアップデート情報をお届けしたいと思います。

アカウントごとにできることは下表のとおりです。

管理アカウント 委任管理アカウント メンバーアカウント
委任管理者アカウントの登録/登録解除 はい いいえ いいえ
Organizationsでアカウント全体のバックアップポリシーの管理 はい はい いいえ
クロスアカウントジョブのモニタリング はい はい いいえ

やってみた

管理者の委任方法の公式ドキュメントはこちらです。

Organizationsの管理アカウント

委任前に委任先のアカウントで許可する機能は事前に管理アカウントで有効にしておきます。
機能の管理は設定 -> クロスアカウント管理から設定します。

Organizationsに権限を許可したら委任の設定をします。 委任の設定はAWS Backupの設定 -> 委任された管理者から設定できます。

ここではsub1のアカウントを委任された管理者にしてみたいと思います。

「委任された管理者の登録が解除?されました。」と表示されますが、委任された管理者にsub1アカウントが登録されていることが確認できます。

委任された管理者アカウント

sub1にログインし、Organizationsからポリシー -> バックアップポリシーを選択します。

こちらから組織のバックアップポリシーを確認することができます。
(表示されているポリシーは事前にOrganizations管理アカウントで作成されたもの)

ポリシーを作成から新たにバックアップポリシーを作成してみます。

この状態で作成すると以下のように権限エラーが出てしまいます。

作成権限については同日発表されたポリシー管理の委任を使ってメンバーアカウントに権限を与える必要がありそうです。

Organizationsの管理アカウントに戻ってOrganizationsの設定 -> AWS Organizationsの委任された管理者を設定していきます。

sub1アカウントにorganizations:CreatePolicy権限を与えます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::52XXXXXXXX60:root"
      },
      "Action": "organizations:CreatePolicy",
      "Resource": "*"
    }
  ]
}

sub1アカウントに戻り、再度作成してみると...

無事作成することができました。

あとは、従来のバックアップポリシーの設定同様、各OU/アカウントにポリシーをアタッチしていく形になります。

ここではポリシー管理の委任にorganizaitons:CreatePolicyのみ設定しましたが、バックアップポリシーのアタッチ/削除を行う場合は管理アカウントで追加の権限が必要になります。

  • アタッチ/デタッチ : organizations:AttachPolicy/organizations:DetachPolicy
  • 削除 : organizations:DeletePolicy

最後に

今回のアップデートでまた1つ委任管理ができるサービスが増えました。

AWS Backupの委任管理設定だけですべて委任できるかと言ったらそうではなく、別にOrganizationsのポリシー管理の委任も必要な点は留意したいですね。

また、アップデート情報ではAWS Backupの画面でも管理できると読み取れそうですが確認時点では、以下の通りポリシーが表示されなかったり、ボタンが活性化しない感じでしたのでまた改めて情報が得られたら追記していきたいと思います。(USコンソールも同様)

You can get started with delegation of AWS Backup administration by using the AWS Backup and AWS Organizations console, API, or CLI. You can delegate backup management for the organization, previously afforded to your management account only, to dedicated backup administration accounts.

2022/12/06追記:
AWS Backupコンソールからも設定できるようになりました!

リリースからだいぶ期間が空いての確認になりましたが、無事AWS Backupコンソールからも設定/確認できるようになっています。

以上、たかやま(@nyan_kotaroo)でした。