今回は、AWS Account ManagementをAWS Organizationsと連携させるときの初期セットアップ手順について説明します。

AWS Account Managementは聞き慣れないサービスだと感じる方も多いかと思います。このサービスはAWSアカウントに関する情報の参照や更新を行うことができるもので、Organizationsと連携することで複数のAWSアカウントの主要連絡先および代替連絡先を参照・変更することが可能になります。

少々地味なサービスに感じられる方もおられるでしょうが、多数のAWSアカウントが存在する環境では、それぞれのAWSアカウントの代替連絡先がどのようになっているかを確認するだけでもひと手間となるため、管理面でのメリットがあるサービスとなります。

以下、セットアップ手順を紹介していきます。

想定する構成

Account Managementは管理アカウントで利用してもよいのですが、今回はメンバーアカウントを委任管理者として設定した下記構成でのセットアップを行っていきます。

管理アカウントの設定

これまで紹介してきたサービスと同じく、まずは管理アカウントで委任管理者の設定を行います。

(1)委任管理者アカウントの設定は、管理アカウントでのみ実施が可能ですので、まず管理アカウントにログインを行い、Organizationsの画面へ遷移します。

(2)サイドメニューから「サービス」をクリックします。

(3)Account Managementを見つけ、クリックします。

(4)「信頼されたアクセスを有効にする」をクリックします。

(5)表示されたポップアップで下記のように入力を行い、「信頼されたアクセスを有効にする」ボタンをクリックします。

(6)ステータスが変更されていることを確認します。

(7)委任管理者の設定はAWS CLIのみで実施できるため、下記コマンドを実行します。


aws organizations register-delegated-administrator \
 --account-id 連絡先管理アカウントのアカウントID \
 --service-principal account.amazonaws.com

(8)設定ができているかを確認するため、以下コマンドを実行します。


aws organizations list-delegated-services-for-account \
 --account-id 連絡先管理アカウントのアカウントID

連絡先管理アカウントの設定

続いて、連絡先管理アカウントを設定します。さらに、本稿では代替連絡先を変更する手順を紹介します。

(1)委任管理者として指定された連絡先管理アカウントでOrganizationsへ移動し、サイドメニューから「AWSアカウント」をクリックします。

(2)代替連絡先を設定したいAWSアカウントをクリックします。

(3)「連絡先情報」タブをクリックします。

(4)追加したい代替連絡先の下の「追加」ボタンをクリックします。

(5)情報を入力の上、「保存」ボタンをクリックします。

(6)連絡先が保存されていることを確認します。

課題となりやすいポイント

まず、紹介した手順によって変更できる3つの連絡先について説明します。

連絡先 内容
請求の代替連絡先 BillingコンソールのEメールでPDF請求書を受け取るオプションが有効になっている場合に、ここで指定した連絡先にもPDF請求書が送付されるようになる
操作の代替連絡先 サービスが複数のリージョンで一時的にでも利用できない場合に、ここで指定した連絡先にも通知がされる
セキュリティの代替連絡先 セキュリティ上の問題やAWSアカウントの不正仕様などを検知した際に、ここで指定した連絡先にも通知がされる

いずれも運用上重要な通知が送付されるため、メンバーアカウントを管理する方々が受け取れるメールアドレスを指定しておくべきものとなっています。

(1)上記の請求の代替連絡先はAccount Managementを利用して変更をすることは可能なものの、Oranizationsで一括請求を有効にしている場合は、指定した連絡先に請求書が送付されることはありませんので、ご注意ください。

(2)本稿のように委任管理者を指定した場合、委任管理者ではAWSアカウントの代替連絡先の情報以外にも、Service Control Policy(SCP)の情報が参照可能となります。委任管理者アカウントには、SCPの参照権限を付与したくないケースでは、下記SCPを適用することを検討してください。


{
 "Version": "2012-10-17",
 "Statement": [
     {
         "Sid": "DenyDescribeSCP",
         "Effect": "Deny",
         "Action": [
             "organizations:DescribePolicy"            
         ],
         "Resource": [
             "*"
         ],
         "Condition": {
             "StringLikeIfExists": {
                 "organizations:PolicyType": [
                     "SERVICE_CONTROL_POLICY"
                 ]
             }
         }
     }
 ]
}

まとめ

今回は、AWS Account ManagementのOrganizations連携ステップと課題となりやすいポイントについても紹介しました。本稿がOrganizations配下のAWSアカウントの代替先連絡の管理にお役に立てば幸いです。