AWS Organizationsの委任管理者アカウントについて調べてみた

AWS Organizationsの委任管理者アカウントについて調べてみた

「XXサービスの委任管理者アカウントをとりあえず指定しておこう」とするアクションは正しい、ということを改めて理解しました。
#AWS
#マルチアカウントTIPS
#AWS Organizations
#AWS Control Tower
あしざわ

あしざわ

facebook logohatena logotwitter logo
Clock Icon2023.03.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

みなさん、こんにちは。

明るい笑顔がトレードマークの芦沢(@ashi_ssan)です。

今回から[マルチアカウントTIPS]と題して、マルチアカウントに関するノウハウを細かくアウトプットしていこうと思っています。

初回は「委任管理者アカウント」についてです。

案件対応する中で、Organizations統合を行っているいろいろなサービスで当たり前のように委任管理者の設定を推奨しているけど、そもそもメンバーアカウントに委任しないといけないのはなんでだっけ?と思ったタイミングがあったため、初回のお題として選んでみました。

以下の順に紹介していきます。

  • 委任管理者アカウントとは?
  • なぜ委任管理者アカウントが必要なのか?
  • よくある質問

それでは本題に入っていきます!

委任管理者アカウントとは?

Organizationsと互換性のあるAWSサービスで、Organizationsの「信頼されたアクセス」を有効化する(≒ OrganizationsとAWSサービスを統合する)と、Organizations組織内のすべてのアカウントでそのAWSサービスが利用でき、更に管理アカウントによる統合管理が可能になります。

下記の図はControl Tower環境におけるAWS Security Hubの例ですが、Organizationsと統合することで組織に追加されたメンバーアカウントのAWS Security Hubの有効化を自動化できます。

初期の状態ではOrganizationsと統合したAWSサービスの管理者権限はOrganizationsの管理アカウントが所持していますが、一部のサービスでは管理者権限をメンバーアカウントに委任できます。

管理者権限を委任されたメンバーアカウントのことを「委任管理者アカウント」と呼びます。

管理者権限を委任すると、文字通りそのAWSサービスの管理者権限がメンバーアカウント側で利用できるようになります。

なぜ委任管理者アカウントが必要なのか?

Organizationsのアカウントは組織単位(OU)で分けられています。

メンバーアカウントは任意のOUに関連付けできますが、Organizationsの管理アカウントはRoot OUで固定されています。

OUにはSCP(サービスコントロールポリシー)を適用でき、SCPによってOU配下のアカウントのユーザーやロールが実行できるアクションを制限できます。

しかし、例外としてRoot OUだけはSCPを適用できません。

したがって、Organizationsの管理アカウントのユーザーやロールに対してSCPによる制限を行うことができないのです。

SCPによる制限ができないOrganizationsの管理アカウントは、管理アカウントでしかできないタスクのみのために使用することがAWSのベストプラクティスです。

例えば、Organizationsのメンバーアカウントの追加削除やOU設定などです。

よって、委任管理者が設定できるAWSサービス(= 管理者アカウントでなくてもできるタスク)については、委任管理者アカウントを設定することが推奨されます。

よくある質問

Q. どのアカウントを委任管理者に設定したら良いですか?

委任管理者として設定するべきアカウントは、OUの設計や委任するAWSサービスによって異なります。OU設計の思想やOU設計のために利用しているフレームワークに合わせて判断してください。

例えば、AWS Control Towerを利用している環境の場合、Control Towerによって払い出されるAuditアカウントというメンバーアカウントにAmazon GuardDutyの管理者権限を委任することがAWSから推奨されています。

その他、AWSが提供するSRA(Security Reference Architecture)というマルチアカウント環境におけるアカウント構成のガイダンスでは、Security Tooling アカウントをAWS Config、Amazon GuardDuty、AWS Security Hub、AWS Detective、Amazon Inspectorなどのセキュリティ系サービスの委任管理者アカウントとして設定することが推奨されています。

参考リンク: Security OU - Security Tooling account - AWS Prescriptive Guidance

最後に

今回のマルチアカウントTIPSは「委任管理者アカウント」について、でした。

今後もマルチアカウント運用の際に出てくる疑問点や悩みどころをTIPSとしてまとめたいと思っています。

それではまた次回の記事でお会いしましょう。

以上、芦沢(@ashi_ssan)がお送りしました。

Share this article

facebook logohatena logotwitter logo

関連記事

AWS re:Invent 2024 オンライン視聴の登録方法 #reInvent

AWS re:Invent 2024 オンライン視聴の登録方法 #reInvent

User avatar
石川覚
2024.11.17
DynamoDB料金の値下げ、半額になったオンデマンド料金を試算してみた (2024年11月)

DynamoDB料金の値下げ、半額になったオンデマンド料金を試算してみた (2024年11月)

User avatar
suzuki.ryo
2024.11.17
[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました

[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました

User avatar
いわさ
2024.11.17
AWS Glue のAmazon Q データ統合を試してみました

AWS Glue のAmazon Q データ統合を試してみました

User avatar
石川覚
2024.11.16
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.