[アップデート] AWS Firewall Manager で管理スコープを制限した複数の管理者を追加出来るようになりました

2023.04.25

いわさです。

AWS Firewall Manager は AWS Organizations 内にあるアカウントとアプリケーション全体で一元的にファイアウォールルールを設定および管理できるようにするセキュリティ管理サービスです。
組織内を一元管理する兼ね合いで管理者アカウントと、管理対象のアカウントという概念があります。

本日のアップデートで複数の管理者アカウントを設定出来るようになりました。

従来は管理者アカウントを 1 つだけ指定する形でしたが、今回のアップデートで最大 10 アカウントまで管理機能を持つ組織内のアカウントを追加出来るようになりました。

また、これまでは管理者は全ての機能を持つ管理者だったのですが、今回のアップデートでは管理者ごとに管理出来るスコープを設定出来るようになりました。

これは非常におもしろい概念で、単純な組織内の委任管理者ではなく、例えば OU ごとの管理者アカウントとして運用することが出来ます。

これまでの管理者アカウント

これまでは Organizations の管理アカウントで Firewall Manager を初期セットアップする際に、管理者アカウントをひとつだけ指定する形でした。

そして管理者アカウントは、組織内の全アカウントの全リージョンに対して、AWS WAF を初め Shield Advanced や Security Group、Network Firewall など全てを一元管理することが出来る強い権限を保持しています。

これからは複数管理者を追加出来る

これからも、まずはセットアップ時に管理アカウントによって Firewall Manager のデフォルト管理者アカウントを指定する点は同様です。
この管理者はフル権限を保有しています。

上記赤枠のエリアが追加されていて、最大 10 アカウントまでを管理者として追加することが出来ます。
また、 Administrative scope という列がありますが、管理者アカウントごとに管理出来るスコープを設定することが出来るのが新しい概念です。

管理者アカウントの追加

先程の一覧画面の右上のボタンから管理者アカウントを追加することが出来ます。

アカウント ID を入力するのはセットアップ時と同様ですが、Administrative Scope を選択します。
Full の場合はデフォルト管理者と同じで全てのアカウント・リージョン・ポリシータイプが管理出来ます。
一方で、Restricted を選択すると、個別に管理対象を指定していく形となります。

以下は Restricted を選択した場合です。
管理スコープを構成する必要があります。

アカウントと OU

ここでは管理対象のアカウントを指定するのですが、管理対象の OU を指定することも出来ます。
指定方法としては全てを対象とするか、指定したものを管理対象とするか、指定したもの以外を管理対象とするかです。

モザイクのせいでわかりにくいですが、次はアカウントを指定する場合です。
アカウント一覧が表示されるので対象を複数選択します。表示されるのはアカウント ID のみですね。

次は対象の OU を指定する場合です。
こちらはツリー構造で任意の階層の特定の OU を複数指定することが出来ます。

OU ごとに管理者アカウントを用意するなど、大規模な組織構造にも柔軟に対応出来そうです。

ポリシータイプ

ここでは管理対象のポリシーを指定します。
Firewall Manager では本日時点で次のような AWS サービスを一元管理出来ます。

ポリシータイプを制限することで、例えばこの管理者アカウントは AWS WAF を管理し、別の管理者アカウントは Network Firewall を管理するというような使い方出来ます。

リージョン

リージョンはそのままですが、管理出来るリージョンを選択します。
例えば次のような設定の場合だと東京リージョンと大阪リージョンへのみファイアウォールポリシーを展開することが出来ます。

制限された管理者でポリシーを作成してみた

新しく管理スコープを制限した管理者アカウントを追加しました。
次のように管理者アカウント一覧にアカウントが追加されていますね。

制限した内容は適当なのですが、次のように対象アカウント・OU やポリシータイプ・リージョン一通り制限しています。

まず、ポリシー作成の始めにどの AWS サービスをどのリージョンで作成するのかを選択しますが、次のように一部項目が非活性で選択できなくなっていますね!
この管理者アカウントは AWS WAF (& AWS WAF Classic)を東京・大阪リージョンしか管理出来ない設定となっています。

ポリシー構成ページを少し進むとポリシーを展開するアカウントや OU も制限した範囲でしか展開出来ないようになっていますね。素晴らしい。

さいごに

本日は AWS Firewall Manager で管理スコープを制限した複数の管理者を追加出来るようになったので使ってみました。

複数設定出来るというよりも管理者アカウントごとに管理出来る範囲を制限出来るというのが非常におもしろいです。
Firewall Manager は影響範囲が広い機能なので、管理出来る OU や AWS サービスを制限しつつ、管理させることが出来るのは良いですね。

他の委任管理者が設定出来るサービスにも、管理スコープの概念は欲しいかもしれないと思いました。