AWS Organizations で使用する AWS CloudTrail の委任管理アカウントを設定することが出来るようになりました

いわさです。

AWS Organizations を利用している場合、CloudTrail や CloudTrail Lake で組織内の全てのアカウントを対象として証跡やイベントデータストアを作成することが出来ます。

従来これらの作成操作や、作成された証跡やデータストアの管理は管理アカウントでのみ可能でしたが、本日のアップデートで組織内の他のアカウントにこれらに関する管理権限を委任することが出来るようになりました。

設定

設定方法は管理アカウントで CloudTrail コンソールへアクセスし、サイトメニューの Settings から設定が可能です。

設定時にはメンバーのアカウント ID を直接入力します。

これですぐに委任管理アカウントとして追加されます。

委任管理アカウントではない場合

まず、委任管理アカウントではない場合はどういう挙動になっていたのかを再確認してみましょう。

管理アカウントでは以下のように証跡を作成時に「組織内のすべてのアカウントについて有効化」オプションを有効化することで、組織内のアカウントすべてに対して証跡が作成されました。

そして、メンバーアカウントからはその作成された証跡に関しては管理・編集は出来ませんでした。

また、CloudTrail Lake ではイベントデータストアを作成するのですが、その際も同様に「組織内のすべてのアカウントについて有効化」するオプションがありました。
こちらも、メンバーアカウントからは組織のデータストアを作成することはできませんでした。

また、管理アカウントで作成された組織内のすべてのアカウントを対象としたデータストアをメンバーアカウントから利用することも出来ませんでした。

自分のアカウントのみの CloudTrail 証跡の作成や、Lake データストアの作成までが許可されている状態でした。

委任管理アカウントの場合

委任管理アカウントの場合は従来許可されていなかった組織全体に関わる証跡設定や Lake データストア作成・利用が許可されるようになります。

以下は委任管理アカウントが組織証跡へアクセスした状態です。
証跡の停止や削除、各種設定の編集が可能になっています。

以下は委任管理アカウントで CloudTrail Lake のイベントデータストアを作成する場合です。
イベントタイプのオプションで「組織内のすべてのアカウントについて有効化」を選択出来るようになっていますね。

また、エディター利用時に組織データストアを利用することが出来るようになっています。
これはかなり便利ですね。管理アカウント以外から CloudTrail Lake で組織全体を通したクエリが使えるようになった感じでしょうか。

委任管理アカウントの設定は 3 アカウントまで

委任管理アカウントは複数のアカウントを追加することが出来ますが、最大 3 アカウントまでとなっています。
3 アカウント追加されている状態では追加操作を行うことが出来ませんでした。

管理アカウントは引き続き管理機能を持っている

なお、委任管理アカウントを設定したとしても管理アカウント自体は引き続き管理権限を持っています。

そのため、最大で管理アカウント 1 つと委任管理アカウント 3 つの 4 アカウントで管理することが出来る形ですね。

委任管理アカウントの管理は管理アカウントのみ

委任管理アカウントの追加や削除などについては管理アカウントでのみ操作が可能になっています。

委任管理アカウントだとしてもこのあたりの操作は出来ませんので覚えておきましょう。

さいごに

本日は AWS Organizations で使用する AWS CloudTrail の委任管理アカウントを設定することが出来るようになったので有効化してみました。

管理アカウントを介さずに証跡の設定・管理が行えたり CloudTrail Lake で組織全体のアカウントを有効化したデータストアを利用出来るようになった形ですね。
マルチアカウント構成を取る際に証跡管理用の専用アカウントを用意するケースがあると思いますが、そういった場合にこの機能は大変便利そうです。