前編では、30種類以上あるAWS Organizations連携サービスを「絶対に利用するべき」「条件によっては利用を検討」「あまり利用は勧めない」の3つに分類した上で、“絶対に利用するべきOrganizations連携サービス”として次の5つのサービスを紹介しました。
- AWS CloudTrail
- AWS Config
- Amazon GuardDuty
- AWS CloudFormation Stacksets
- AWS Single Sign-On
また、条件によっては利用を検討する余地があるサービスは、下表の通りです。
| サービス名 | 利用を検討するケース |
|---|---|
| AWS Account Management | 代替連絡先の一括管理をしたい場合 |
| AWS Backup | 組織で一律なバックアッププランの適用を行いたい場合(ただし事前に各メンバーアカウント内でバックアップボールト、およびバックアップの実行IAMロールが作成が必要) |
| AWS Control Tower | リセラーによる利用制約がないことが確認できており、自社独自のセキュリティガードレールの仕組みがない場合 |
| AWS Compute Optimizer | リセラーによる利用制約がないと確認できており、複数AWSアカウントのコンピュートリソースの推奨値を一括で確認したい場合 |
| Amazon DevOps Guru | アプリケーションレイヤーでの異常検知を組織全体で一括管理したい場合(ただし一括有効化にはCloudFormation Stacksetsの利用が必要) |
| AWS Firewall Manager | ネットワーク関連のAWSリソースを組織全体で一括管理したい場合(ただし、違反時の自動修復を有効にした場合、全AWSリソースを対象にすると想定外の設定変更が起こるため注意) |
| Amazon Macie | システムで機微情報を扱う場合 |
| AWS Marketplace | 組織内でMarketplaceを利用し、そのライセンスを一元管理したい場合 |
| AWS License Manager | 3rdパーティー製品ライセンス(Marketplaceを含む)を利用し、そのライセンスを一元管理したい場合 |
| AWS Security Hub | 何らかの3rdパーティ製品/サービスによって、AWS環境のセキュリティ状況を包括的に管理していない場合 |
| Amazon VPC IP Address Manager | 従来のIPアドレス管理方式で十分でない場合(管理するIPアドレスごとに利用料金が発生するため、小規模環境や従来の管理方式で問題が起きないのであれば、利用は不要) |
| IAM Access Analyzer | 組織内の意図しないアクセス設定を検出/可視化したい場合(信頼ゾーンを柔軟に設定することができないため、別組織からのアクセスがアラートとして検知されるため、運用負荷が増える) |
| Amazon S3 Storage Lens | 複数のAWSアカウント内で多くのS3バケットを利用する場合 |
| AWS Service Catalog | 特定のAWSアカウントのAWS Service Catalogで定義したポートフォリオを組織全体に一括で共有したい場合 |
| AWS Systems Manager | 組織のOpsDataをダッシュボードで一元的に可視化したり、変更申請の一元管理をしたい場合 |
| タグポリシー | タグ利用にあたっての何らかのポリシーが存在する場合 |
| AWS Trusted Advisor | 複数のメンバーアカウントのTrusted Advisorをまとめて確認したい場合 |
今回は、“あまり利用は勧めないAWS Organizations連携サービス”として、以下の8つのサービスを取り上げます。
- AWS Artifact
- AWS Audit Manager
- Amazon Detective
- AWS Directory Service
- AWS Health
- AWS Resource Access Manager
- Service Quotas
- AWS Identity and Access Management
航空機の技術とメカニズムの裏側 第464回 最近の時事ネタ(17)Open Fanとデジタル・エンジニアリング
