Organizations連携を使って組織内のAmazon Inspectorを有効化してみる

Organizations連携を使って組織内のAmazon Inspectorを有効化してみる

#Amazon Inspector v2
#AWS Organizations
#AWS
鈴木純

鈴木純

facebook logohatena logotwitter logo
Clock Icon2022.03.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

最近アップデートがあったInspectorのOrganizations連携を使って、組織内のアカウント全てでInspectorを有効化してみました。

Organizations連携以外にもたくさんのアップデートがあったので、詳細を知りたい方は以下ブログをご参照ください。

概要

Organizations連携することで、組織内のアカウントのInspectorを簡単に管理できます。また、GuardDutyやSecurity Hubと同様管理者を委任できるため、最小権限の原則に従ってセキュリティを司るアカウントに委任しましょう。

実装すると以下のようなイメージで管理ができるようになります。

やってみた

ユーザーガイドに従って進めていきます。

AWS Organizationsで複数のアカウントを管理する- Amazon Inspector

Organizationsが既に有効化されている環境を想定しています。今回は東京リージョンで実施していきますが、その他のリージョンでも有効化したい場合は、各リージョンで同じ作業を実施してください。

大阪リージョンはまだ対応していないので注意しましょう。

管理者を委任する(管理アカウント-Management Account)

まだ操作していない状態なので、Get Startedから始めていきます。リージョンは東京リージョンです。

Organizationsの管理アカウントであれば以下の画面に遷移します。ここで管理者の委任が行えます。Control Tower環境では、AuditアカウントのIDを指定しましょう。

入力ができたらDelegateをクリックしましょう。

委任先のIDとリージョンに問題がないか確認メッセージが出ます。問題なければそのまま進めましょう。

Inspectorを確認する(委任先のアカウント-Security Account)

委任先のアカウントへログインしてInspectorを確認すると、既に有効化された状態となっています。

左のナビゲーションバーからAccount managementをクリックすると、組織内にあるアカウントの状態を確認できます。

Inspectorを利用していない環境だったので、委任されたAuditアカウント以外のステータスがDisassociatedとなっておりEC2 scanningECR container scanningがEnableになっていません。次はこれらを有効化していきます。

既存アカウントを有効化する(委任先のアカウント-Security Account)

一覧に表示されているアカウントを有効化する場合は全アカウントにチェックを入れてEnableするだけです。

ここでチェックできるアカウントはページに表示されているアカウントの一覧までです。アカウント数が多くページングされている場合は、歯車マークから表示アカウント数を増やしてチェックするようにしましょう。

有効化対象を選択するプルダウンがでるので、All scanningを選択します。個別に有効化したい場合はEC2 scanningECR container scanning を選択してください。

クリックすると有効化が始まりますのでしばらく待ちましょう。これで管理アカウントを含めた全アカウントの有効化は完了です。

もしアカウント個別に有効化したい場合は、全アカウントチェックではなく個別にチェックをいれて行いましょう。

新規アカウントで自動有効化する(委任先のアカウント-Security Account)

新規アカウントでEC2、ECRのスキャンを有効化したい場合は、Automatically enable Inspector for all new member accounts をONにして、EC2 scanningECR container scanningそれぞれにチェックを入れましょう。

Saveをクリックして保存されれば、新規アカウント発行時に有効化された状態で払い出されます。

無効化は委任されたアカウントでのみ可能

Organizations連携によって管理されているメンバーアカウントは、個別にInspectorの無効化ができなくなります。

有効にすると、Amazon Inspector は委任された管理者アカウントでのみ無効にできます。

– 引用:管理者アカウントとメンバーアカウントの関係を理解する - Amazon Inspector

実際に確認してみると、Organizations連携されていないアカウントでは以下のように無効化するためのActionsが表示されます。

しかし、Organizations連携で管理下に置いたアカウントでは、無効化するための「Actions」が表示されず、無効化できなくなっていました。(Organizationsの管理アカウントでも同様)

このようにInspectorでは、委任されたアカウント側から統制する仕組みとなっているため、操作ミスによる無効化される心配ないのが良いですね。

おわりに

アップデートで実装されたOrganizations連携ですが、想像以上に簡単な手順で有効化ができました。

非常に使いやすくなっているので、マルチアカウント環境のセキュリティ統制にぜひご利用ください。

参考

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon Inspector のスキャンステータスを EC2 インスタンスごとに確認する方法を教えてください

Amazon Inspector のスキャンステータスを EC2 インスタンスごとに確認する方法を教えてください

User avatar
kamimizu.daichi
2024.10.31
Amazon Inspector の最終スキャン日時を EC2 インスタンスごとに確認する方法を教えてください

Amazon Inspector の最終スキャン日時を EC2 インスタンスごとに確認する方法を教えてください

User avatar
kamimizu.daichi
2024.10.31
EC2の脆弱性対応で何が使える? Inspector や SSM あたりを整理する #nakanoshima_dev

EC2の脆弱性対応で何が使える? Inspector や SSM あたりを整理する #nakanoshima_dev

User avatar
川原征大
2024.07.02
一部メンバーアカウントに対してInspectorを有効化してみた

一部メンバーアカウントに対してInspectorを有効化してみた

User avatar
たかやま
2024.06.25
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.