【徹底解説】AWS Organizations最新機能

みなさん、こんにちは。サニービュー事業部の小寺です。

AWS Organizationsを利用されていますか。
AWS Organizationsは複数のAWSアカウントを管理していく上でとても重要かつ便利なサービスなので、2021年3月末時点での最新情報をご紹介いたします。

■複数アカウントに属性ベースのアクセスコントロール (ABAC) が利用可能

タグを使うことで、強力なポリシーの制御ができるようになります。
タグまたはユーザー定義属性を組織単位 (OU)、組織のルート、およびポリシーに設定できるようになりました。よって、組織内のリソースを簡単に識別、分類、またはカテゴリ分けできるようになりました。組織内のアカウントでリソースを作成するときにタグを付けることもできます。

また属性ベースアクセス制御 (ABAC) の実行が可能です。ABAC は、新しいリソースが AWS 環境に追加されたときに更新する必要のない単一のアクセス許可ポリシーを作成できるため、アクセス許可管理を簡素化します。定義したタグに基づいて詳細なアクセス許可ルールを作成することにより、セキュリティ体制を改善することもできます。

■セキュリティアラート、AWS Trusted Advisor チェック、S3 Storage Lens、ヘルスイベントの一括管理が可能

・AWS Security Hub
AWS OrganizationsとSecurity Hubの統合ができるようになりました。
自動的に Security Hub メンバーアカウントを登録してくれるため、組織内のメンバーアカウントが増えたときも、招待、受諾などのプロセスが不要です。
また、Security Hub/セキュリティチェックを有効化してくれるため、個々のメンバーアカウントで(Security Hub有効化)が不要になります。

・AWS Trusted Advisor
今まで Trusted Advisor は各AWSアカウントごとにチェック、レポートを確認する必要がありました。アカウントの個数が少なければ、運用できるかもしれないですが、数が増えるととても大変です。
信頼されたアクセスを有効にすると、組織内のメンバーアカウントに自動的にレポートが作成されます。Trusted Advisor は組織内のアカウント全体でサポートされているオペレーションを実行することもできます。

・S3 Storage Lens
S3 Storage Lens は、組織内の数十から数百のアカウントにわたるオブジェクトストレージの使用状況とアクティビティを 1 つのビューにまとめたクラウドストレージ分析ソリューションです。アカウント、バケット、さらにはプレフィックスレベルでストレージを最適化するためのレコメンデーションを受けることができます。

・ヘルスイベント
AWS Health を利用することにより、通常は 1 つのAWS HealthアカウントのAWSイベントを表示できます。AWS Organizations では、組織全体で AWS Healthイベントを一元的に表示、管理することができます。
オペレーション上の問題、メンテナンス作業予定、アカウントへの通知などのイベントへのリアルタイムなアクセスができます。また、イベントから影響を受ける組織内のアカウントが把握でき、セキュリティの脆弱性について通知を受け取ることができます。受け取ったイベント情報から組織全体のリソースメンテナンスイベントを事前に管理および自動化できます。

■簡単に監査機能と構成管理が管理できる
AWS Audit ManagerとAWS Configを使い、簡単に管理ができます

・AWS Audit Manager
Audit Manager とAWS Organizationsを統合すると、評価の範囲内に複数の組織から複数の AWS アカウントを含めることができます。監査対応レポートを生成するにあたり、より幅広く関連証拠を収集することができます。

・AWS Config
AWS Config とAWS Organizationsを統合すると、組織内のアカウント全てに対してルールの一元管理ができます。
すべてのアカウント間で共通の AWS Config ルールのセットをデプロイし、AWS Config ルールを作成しないアカウントの指定をすることも可能です。

■複数アカウントでバックアップをコピーすることで可用性アップ

AWS Backup がクロスアカウントバックアップのサポートを開始したことにより、AWS Organizations 内のアカウント全体でバックアップを安全にコピーできます。
クロスアカウントバックアップは、AWS Organizations を活用して送信元アカウント（コピー元アカウント）と送信先アカウント（コピー先アカウント）の定義ができます。
AWS Organizations 管理アカウントを使用して、特定のアカウントを送信先アカウントとして指定できます。これにより、バックアップが組織内の信頼できるアカウントにのみコピーされるようになり、不正な公開からの保護できるなどのメリットがあります。

■CloudFormationのStackSetsがマルチアカウントとして利用可能に

CloudFormation StackSets を利用すると、わずか数回のクリックで複数のリージョンにある複数の AWS アカウントに対して CloudFormation リソース群(スタック)を展開できます。

複数のリージョン、複数の AWS アカウントにわたって、いかなる AWS CloudFormation 対応サービスであっても一元的にオーケストレーションできるようになります。
例えば、組織内で複数のリージョン、複数の AWS アカウントにわたって、AWSIdentity and Access Management (IAM) ロールの集中デプロイ、Amazon Elastic Compute Cloud (EC2) インスタンスや AWS Lambda 関数のプロビジョニングができるようになります。

CloudFormation StackSets をご利用の場合、クロスアカウントのアクセス権限設定がシンプル化され、アカウントが追加、削除される際にお使いのOrganization からリソースの自動作成、自動削除が可能になります。