AWS Health Dashboard 組織ビューが指定したメンバーアカウントでも参照可能になる委任管理者機能がサポートされました!

AWS Health Dashboard 組織ビューが指定したメンバーアカウントでも参照可能になる委任管理者機能がサポートされました!

[要注意] 23/07/28 時点では、最大5つのアカウントまで指定可能です。
#AWS Health Dashboard
#AWS Organizations
園部治

園部治

facebook logohatena logotwitter logo
Clock Icon2023.07.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWS リソースに関する重要なメンテナンスやイベント情報が通知される AWS Health Dashboard には、組織配下メンバーアカウントのイベント情報を集約して可視化する組織ビューという機能が提供されています。

ですが、参照が可能なのは管理アカウントからのみでした。そのため、組織のアカウント戦略によっては、利用が難しいケースもありました。 今回、指定したメンバーアカウントでも組織ビューの参照が可能となる委任機能がリリースされました!

やってみた

前置き

本日時点(23/07/28)では、利用に際していくつか注意点があります。

  • 委任機能の有効化(設定)は AWS CLI から実施
  • 設定可能なアカウント数は5つまで
  • 過去 90 日間、または組織ビュー機能が最初に有効になってからのどちらか新しい方の履歴イベントを表示
  • 委任された管理者機能の有効化は非同期プロセスであり、完了までに最大 1 分かかる

引用:
AWS Health now supports delegated administrator
AWS Health User Guide - Register a delegated administrator for your organizational view

AWS CLI コマンドとしては organizations コマンドのこちらを利用するようです。

事前確認

事前に "組織ビューは有効化済みだけど委任はしていない" アカウントの状況を確認しておきます。

メンバーアカウント(下4桁-2102)

組織ビューの一覧が非表示となっています。

管理アカウント(下4桁-7161)

組織ビュー設定が有効になっています。

影響するアカウントが複数表示されています。

AWS CLI で委任設定状況も確認してみます。現時点では、何も登録はありません。

$ aws organizations list-delegated-administrators
{
    "DelegatedAdministrators": []
}

委任登録

ドキュメントを参考に、管理アカウントで、委任する AWS アカウントを設定します。

$ aws organizations register-delegated-administrator --account-id メンバーアカウントID --service-principal  health.amazonaws.com
$ aws organizations list-delegated-administrators
{
    "DelegatedAdministrators": [
        {
            "Id": "メンバーアカウントID",
            "Arn": "arn:aws:organizations::管理アカウントID:account/組織ID/メンバーアカウントID",
            "Email": "xxxxx@xxxxx",
            "Name": "XXXXXXXXXX",
            "Status": "ACTIVE",
            "JoinedMethod": "CREATED",
            "JoinedTimestamp": "2021-03-16T08:44:26.655000+00:00",
            "DelegationEnabledDate": "2023-07-28T02:10:49.768000+00:00"
        }
    ]
}

結果確認

特に承認等の作業などは不要で、少し時間を置いてから、メンバーアカウントの組織ビュー欄を確認すると、管理アカウントと同じビューの一覧が表示されました。

事前確認と同じイベントで、同じ複数アカウントの情報が表示されています。

委任解除

委任設定を解除してみます。

$ aws organizations deregister-delegated-administrator --account-id メンバーアカウントID --service-principal  health.amazonaws.com
$ aws organizations list-delegated-administrators
{
    "DelegatedAdministrators": []
}

メンバーアカウントでの表示も設定前(組織ビューが非表示)に戻りました。

さいごに

組織ビューの委任管理者機能がリリースされたため、実際に設定を行いました。 今までの管理アカウントのみ参照可能の制限がなくなることで、今まで利用出来なかった組織での組織ビューの利用検討や促進、また既に利用していた組織でも今回の機能で、メンバーアカウントへ委任することで、より管理アカウントの利用を限定的に出来るため、有効な機能ではないでしょうか。 集約するメンバーアカウントを指定するなどの細かな設定は行えないため、同一組織でも情報を共有することが出来ない場合は、別の方法での実装の検討が必要となります。

Share this article

facebook logohatena logotwitter logo

関連記事

อัพเดทบริการ AWS Health Dashboard ในปี 2024

อัพเดทบริการ AWS Health Dashboard ในปี 2024

AWS入門ブログリレー2024 〜AWS Health Dashboard 編〜

AWS入門ブログリレー2024 〜AWS Health Dashboard 編〜

User avatar
さかもと
2024.05.20
Health Dashboard の「影響を受けるリソース」のステータス更新タイミングを教えてください

Health Dashboard の「影響を受けるリソース」のステータス更新タイミングを教えてください

User avatar
hato
2024.04.09
[小ネタ] Health イベントの service に指定する AWS サービス名の確認方法

[小ネタ] Health イベントの service に指定する AWS サービス名の確認方法

User avatar
hato
2024.03.13
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.