Organizations連携を使って組織内のAmazon Inspectorを有効化してみる

2022.03.22

最近アップデートがあったInspectorのOrganizations連携を使って、組織内のアカウント全てでInspectorを有効化してみました。

Organizations連携以外にもたくさんのアップデートがあったので、詳細を知りたい方は以下ブログをご参照ください。

概要

Organizations連携することで、組織内のアカウントのInspectorを簡単に管理できます。また、GuardDutyやSecurity Hubと同様管理者を委任できるため、最小権限の原則に従ってセキュリティを司るアカウントに委任しましょう。

実装すると以下のようなイメージで管理ができるようになります。

やってみた

ユーザーガイドに従って進めていきます。

AWS Organizationsで複数のアカウントを管理する- Amazon Inspector

Organizationsが既に有効化されている環境を想定しています。今回は東京リージョンで実施していきますが、その他のリージョンでも有効化したい場合は、各リージョンで同じ作業を実施してください。

大阪リージョンはまだ対応していないので注意しましょう。

管理者を委任する(管理アカウント-Management Account)

まだ操作していない状態なので、Get Startedから始めていきます。リージョンは東京リージョンです。

Organizationsの管理アカウントであれば以下の画面に遷移します。ここで管理者の委任が行えます。Control Tower環境では、AuditアカウントのIDを指定しましょう。

入力ができたらDelegateをクリックしましょう。

委任先のIDとリージョンに問題がないか確認メッセージが出ます。問題なければそのまま進めましょう。

Inspectorを確認する(委任先のアカウント-Security Account)

委任先のアカウントへログインしてInspectorを確認すると、既に有効化された状態となっています。

左のナビゲーションバーからAccount managementをクリックすると、組織内にあるアカウントの状態を確認できます。

Inspectorを利用していない環境だったので、委任されたAuditアカウント以外のステータスがDisassociatedとなっておりEC2 scanningECR container scanningがEnableになっていません。次はこれらを有効化していきます。

既存アカウントを有効化する(委任先のアカウント-Security Account)

一覧に表示されているアカウントを有効化する場合は全アカウントにチェックを入れてEnableするだけです。

ここでチェックできるアカウントはページに表示されているアカウントの一覧までです。アカウント数が多くページングされている場合は、歯車マークから表示アカウント数を増やしてチェックするようにしましょう。

有効化対象を選択するプルダウンがでるので、All scanningを選択します。個別に有効化したい場合はEC2 scanningECR container scanning を選択してください。

クリックすると有効化が始まりますのでしばらく待ちましょう。これで管理アカウントを含めた全アカウントの有効化は完了です。

もしアカウント個別に有効化したい場合は、全アカウントチェックではなく個別にチェックをいれて行いましょう。

新規アカウントで自動有効化する(委任先のアカウント-Security Account)

新規アカウントでEC2、ECRのスキャンを有効化したい場合は、Automatically enable Inspector for all new member accounts をONにして、EC2 scanningECR container scanningそれぞれにチェックを入れましょう。

Saveをクリックして保存されれば、新規アカウント発行時に有効化された状態で払い出されます。

無効化は委任されたアカウントでのみ可能

Organizations連携によって管理されているメンバーアカウントは、個別にInspectorの無効化ができなくなります。

有効にすると、Amazon Inspector は委任された管理者アカウントでのみ無効にできます。

– 引用:管理者アカウントとメンバーアカウントの関係を理解する - Amazon Inspector

実際に確認してみると、Organizations連携されていないアカウントでは以下のように無効化するためのActionsが表示されます。

しかし、Organizations連携で管理下に置いたアカウントでは、無効化するための「Actions」が表示されず、無効化できなくなっていました。(Organizationsの管理アカウントでも同様)

このようにInspectorでは、委任されたアカウント側から統制する仕組みとなっているため、操作ミスによる無効化される心配ないのが良いですね。

おわりに

アップデートで実装されたOrganizations連携ですが、想像以上に簡単な手順で有効化ができました。

非常に使いやすくなっているので、マルチアカウント環境のセキュリティ統制にぜひご利用ください。

参考