[アップデート] AWS Resource Explorer がマルチアカウントのリソース検索に対応しました

以下アップデートを紹介します。

• AWS Resource Explorer now supports multi-account resource search | AWS

タイトルのとおり、 「AWSリソース検索に便利な AWS Resource Explorer」 が マルチアカウントのリソース検索 に対応しました。

何が嬉しいか？

AWS Organizations環境下のAWSリソース一覧化が楽ちんになりました。

マルチアカウント管理ではAWSリソースの管理が大変です。 各メンバーアカウント上でどんなリソースがあるのか、把握が難しいです。

従来はアカウント横断でリソースを検索する手段としては Configアグリゲーターがありました。 各AWSアカウントの 「Configによる構成情報」および 「Configルールによる評価結果」を集約できます。

• [アップデート] 委任したメンバーアカウントで AWS Config アグリゲーターを使った Organizations 組織レベルのデータ収集が可能になりました | DevelopersIO
• AWS Configの高度なクエリでOrganizations環境のリソースを検索してみた | DevelopersIO

もちろんこれ(Configアグリゲーター)を使えばよかったのですが、 代わりに Resource Explorer を使って、より楽ちんに見られる手段もできましたよ といったアップデートになります。

なお、Resource Explorer および 今回のマルチアカウント機能は 追加料金無しで利用できます 。

試してみる

さっそく、マルチアカウント Resource Explorer を体験します。

信頼されたアクセスの有効化 ( + メンバーアカウントへの委任)

AWS Resource Explorer の設定ページから [組織で Resource Explorer を設定] を選択します。

「信頼されたアクセスを有効にする」部分にチェックを入れます。 そして適当なメンバーアカウントへ委任した設定で、 [確認] を選択します。

信頼されたアクセスは Resource Explorer で正常に有効化されました と表示が出てきます。

マルチアカウント検索用に Resource Explorer を設定

ここから「マルチアカウント検索用に Resource Explorerを設定」 する必要があるようです。 今回は QuickSetup を使って展開してみます。

[QuickSetup で設定を作成] を選択します。

ホームリージョンを選択して [使用開始] します。 (この部分、QuickSetup の他機能を既に活用している場合は出てこないはずです)

「組織の Resource Explorer を設定」する画面です。 アグリゲーターインデックスリージョンは 東京(ap-northeast-1) にして、 ターゲットは 組織全体 としました。 [作成] を選択します。

更新画面に移ります。

しばらく待つと以下のような表示になりました。

マルチアカウントリソースビューを作成

最後に「マルチアカウントリソースビューを作成」します。

『委任したメンバーアカウント上』で [ビューの作成] を選択します。

名前は適当に入力します(org-view)。

アカウントスコープを 組織全体のリソースの可視化 にして、Root(=全アカウント)を選択します。

その他の設定はデフォルトにして、 [ビューの作成] を実行します。

「マルチアカウントスコープ」のビューが作成できましたね。

(オプション) 管理アカウントでResource Explorer を設定する

先程の手順では、管理アカウントには Resource Explorer 設定は適用されません。

もし管理アカウントのリソースも集約させたい場合は、 管理アカウント上で 「Resource Explorer をオンにする」 を適用させましょう。

確認する

インデックス作成が完了するまで、少し時間がかかるみたいです。 作成した後、リソースの個数が画面を更新するたびに増えていきました。

アカウント横断でリソースが見れています。素晴らしい。

基本的な操作については、マルチアカウントスコープ特有のものは無いようです。 以下ブログを参照ください。

• [新機能] リージョン・サービスを横断してリソースを検索できる AWS Resource Explorer が使えるようになっていました | DevelopersIO

(オプション) RAMで共有

Resource Access Manager(RAM)を使って、 他のメンバーアカウントへマルチアカウントビューを共有できます。

共有方法については以下を参照ください。

• Sharing Resource Explorer views - AWS Resource Explorer

おわりに

AWS Resource Explorer のアップデート紹介でした。

• 楽ちんにマルチアカウント環境下のリソースを一覧化したい → AWS Resource Explorer
• 細かい設定項目まで詳細に棚卸ししたい → Configアグリゲーター

みたいな使い分けが良いのではないでしょうか。あと Resource Explorer は無料なので、より手軽に始められますね。

以上、参考になれば幸いです。

参考

• AWS Resource Explorer now supports multi-account resource search
• New – Multi-account search in AWS Resource Explorer | AWS News Blog
• Turning on multi-account search - AWS Resource Explorer
• Deploying Resource Explorer to the accounts in an organization - AWS Resource Explorer