既存のCloudTrail証跡が設定されている状態で、CloudTrailの管理をメンバーアカウントに委任してみた

2022.11.18

はじめに

こんにちは。大阪オフィスの林です。

先日、CloudTrailの管理をメンバーアカウントに委任できるようになりました。このエントリでは、既存のCloudTrail証跡がある状態で委任の設定をしていきたいと思います。

やってみた

今回は既存の証跡がある状態から進めていきたいと思います。
AWS Organizationsの管理アカウントにログインし、CloudTrailのダッシュボードに移動後します。現在組織の証跡が「すべてのアカウントで有効」という状態です。

この状態で委任を予定しているメンバーアカウントにログインし、CloudTrailの証跡の設定を確認すると管理アカウントで管理されている旨のメッセージが表示され、削除や停止や編集が出来ないことが分かります。

管理アカウントに戻り左メニューの「設定」から「管理者を登録」を選択します。

委任先メンバーアカウントのAWSアカウント12桁を入力し「管理者を登録」を選択します。

登録できました。

再度委任先のメンバーアカウントにログインし、CloudTrailの証跡を確認すると、管理アカウントで管理されている旨のメッセージが消え、削除や停止や編集の操作ボタンがアクティブになったことが分かります。「証跡ログの場所」などの設定もすべて引き継がれていました。

まとめ

また一つ、管理アカウントでしかできないタスクが減りました。
繰り返しですが、管理アカウントは、管理アカウントでしかできないタスクのみに限定しておくことが管理アカウントのベストプラクティスとされています。
これを機にメンバーアカウントに委任させられるタスクは、メンバーアカウントに委任させることを検討してみてはいかがでしょうか。

以上、大阪オフィスの林がお送りしました!