![[アップデート] マルティパーティ承認で管理者が無効なユーザーを特定するためのベースライン承認者機能が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-2eddd7f989fa67416ea2d27b4223cc32/8f5b157eb82ee11cc288225119e0c290/aws-organizations?w=3840&fm=webp)
[アップデート] マルティパーティ承認で管理者が無効なユーザーを特定するためのベースライン承認者機能が追加されました
いわさです。
AWS Organizations のマルチパーティ承認機能では IAM Identity Center ユーザーでチームを構成して、特定のリクエスト(本日時点ではエアギャップボールトのリストアくらい)が発生する際にチーム内の一定数以上が承認操作を行うことで、そのリクエストが許可されるという仕組みになっています。
このマルチパーティ承認機能ですが、運用していく中でいつの間にかチームが機能しなくなってしまう場合があります。
例えば IAM Identity Center ユーザーが組織を離れたり、あるいはチームへの承認の際に間違ったユーザーを招待してしまうなど、無効なユーザーが増えていくことでチームの最低限必要な承認数を満たすことができなくなる場合があります。
チームの健全性を確認するためにはチームごとのステータスを管理することが推奨されています。
また、マルチパーティ承認管理者には月次レポートが送信され、チームの健全性を各委任することができます。
ステータスに反映されるのかまだ私は検証できていないのですが、以下公式ドキュメントによると IAM Identity Center のユーザーが非アクティブになる場合に加えて、承認者が過去90日間に承認セッションに応答していない場合もチームが機能していないとみなされるようです。
そこで定期的な承認実績が必要になるのですが、先日のアップデートで「ベースライン承認者」という機能が追加されました。
ベースラインと言われると難しいのですが、要はテスト承認リクエストを管理者が送信できるようになります。
これによって定期的にテスト承認にチームが応答できるかを確認することでチームの健全性を保つことが出来るという運用のための機能みたいです。
ベースライン承認機能を使ってみる
チーム詳細画面の上部のアクションボタンに「ベースライン承認者」というボタンが追加されていまして、こちらから開始できます。
このボタンを押すと次のようにチーム内に所属しているユーザーの中からベースライン承認者を複数選択することができます。
全員選択することもできたのですが、今回は以下の3名を選択してみました。
チームの最低承認者数は関係ないみたいで、1名以上選択していれば送信ボタンが押せました。
上記ボタンを押すとすぐにリクエストが送信されます。ベースラインセッション中かどうかはマネジメントコンソール上からは確認は出来ませんでしたが、指定した承認者には次のようなメールが送信されていました。
オペレーションリクエストに応答するボタンを押すとマルチパーティ承認ポータルに遷移し、リクエストへ応答することが出来ます。
ベースラインリクエストの場合は「拒否」操作はできないようです。
自分ひとりが応答しただけだと、自分の応答は「承認済み」になりますが、リクエストステータスは「保留中」になっています。
このチームのしきい値は2だったのですが、2名が承認応答してもステータスは承認済みになりませんでした。
しかし、ベースラインリクエストを送信した全員が応答すると、次のように承認済みとなりました。これによってチームの健全性が確認できるという感じみたいですね。レポートにどう出力されるのか別途確認してみたい。
なお、ベースライン承認に応答した承認者はユーザー上で最終アクティビティが次のように更新されます。なるほどね。
このベースラインセッションは24時間有効です。まだ応答できてないセッション中の承認者は追加のベースラインセッションで選択できないので注意してください。
さいごに
本日はマルチパーティ承認で管理者が無効なユーザーを特定するためのベースライン承認者機能が追加されたので使ってみました。
ベースラインへの応答が必要になるので運用上のユーザー負担が若干ありますが、定期的(90日以内)にこの機能でチームの健全性を更新し続けるのが望ましいですね。
本来であれば定期的なエアギャップボールトからの復旧テストを通すことが望ましいですがまずまず大変なので、例えば1年に一度復旧テストをしつつチームの健全性更新だけは2ヶ月に1回行うとか、そんな運用が出来そうです。
