AWS Resource ExplorerのAWS Organizations連携機能

はじめに

今回は、AWS Resource ExplorerのAWS Organizations連携機能を紹介します。Resource ExplorerはAWSアカウント内の様々なAWSリソースを横断的に検索することができるサービスです。同サービスを利用することで、キーワード、検索演算子、およびタグなどの属性を使用して、条件と一致するリソースを簡単に見つけることができます。

本稿では、Resource ExplorerのAWS Organizations連携機能の具体的な設定方法や利用にあたっての注意点を紹介していきます。

AWS Resource ExplorerのOrganizations連携機能の利用方法

Resource Explorerは、委任管理者をサポートしています。そのため、AWS Organizationsと連携する他の多くのサービスと同様に、委任管理者として別のアカウントを指定していきます。下記イメージ図の通り、管理アカウント以外を委任管理者として設定します。

• 

管理アカウントの作業

まずは管理アカウントで委任管理者の設定を行います。

（1）Resource Explorerの画面へ遷移し、サイドメニューの「設定」リンクをクリックします。

• 

（2）「組織でResource Explorerを設定」ボタンをクリックします。

• 

（3）信頼されたアクセスを有効にするセクションでチェックボックスにチェックを入れ、委任された管理者を選択セクションで委任管理者アカウントのAWSアカウントIDを入力し、「確認」ボタンをクリックします。

• 

（4）処理が成功することを画面上で確認し、「QuickSetupで設定を作成」ボタンをクリックします。

• 

（5）Systems Managerの画面へ遷移しますので、アグリゲーターインデックスリージョン（組織全体の検索結果を集約・保存するリージョン）を選択し、ターゲットを選択した上で、「作成」ボタンをクリックします。この手順では、アグリゲーターインデックスリージョンは東京に、ターゲットは組織全体を選択して作業を行います。

• 

• 

（6）筆者の環境では数分待機すると、処理が完了しました。なお、筆者の環境ではSCP（Service Control Policy）によるリージョン制限を行っており、以下の画像の通りエラーが表示されましたが、許可されているリージョンでは問題なくデプロイが完了しました。

• 

これで管理アカウントでの作業は完了です。

委任管理者アカウントでの動作確認

それでは委任管理者アカウントで動作確認をしていきます。

（1）委任管理者アカウントにログインし、Resource Explorerの画面へ遷移し、サイドメニューから「ビュー」をクリックします。

（2）ユーザービュータブ内の「ビューを作成」ボタンをクリックします。

• 

（3）適切な名前を入力し、アカウントスコープとして「組織全体のリソースを可視化」を選択します。今回はOrganizations配下の全AWSアカウントを対象とするために、AWS組織を選択します。リソースフィルタでは「すべてのリソースを含める」を選択し、最後に「ビューの作成」ボタンをクリックします。

• 

• 

（4）ビューの作成が完了することを確認します。

• 

（5）サイドメニューから「リソース」をクリックすると、作成したビューの結果を確認できます。以下の画像のように複数のAWSアカウントのリソース情報が表示されているはずです。

（6）2025/8/13のアップデートにより、検索フィルタで複数の値を指定することが可能となりましたので、その挙動を確認してみます。検索欄で「account=AAAA,BBB」という形で複数のAWSアカウントIDを指定します。すると以下の画像のように複数のAWSアカウントIDのAWSリソースを検索できていることを確認できます。これにより、OUをまたがるAWSアカウントやOU内の特定のAWSアカウントのリソースの検索が可能となります。

• 

課題となりやすいポイント

最後に課題となりやすいポイントを紹介します。

• Resource ExplorerではすべてのAWSリソースがサポートされておらず、一部のリソースは検索対象外となる場合があります。こちらがサポート対象のAWSリソース一覧です。Resource ExplorerはOrganizations配下のリソースを横断検索する際に非常に強力ですが、検索対象外のリソースを補うために、より広範なリソースをサポートするAWS Configとの併用もご検討ください。

• 1つ目のポイントと関連しますが、Resource ExplorerはAWS Configと異なり、AWSリソースの設定値は確認ができません。あくまでリソースの存在やARN、タグといったメタデータを確認できるサービスです。EC2インスタンスに設定されたセキュリティグループのルールなど、リソースの詳細な設定値までは確認できない点にご注意ください。

なお、これまで紹介してきたサービスで課題となりやすかった管理アカウントの情報が委任管理者アカウントから確認できてしまうという問題はResource ExplorerのOrganizations連携機能では発生しません。QuickSetupでのデプロイでは管理アカウントにResource Explorerのインデックス（リソース情報を検索可能にするための設定）を作成しないため、管理アカウントの情報が委任管理者アカウントから見えてしまうことはありません。

まとめ

今回は、AWS Resource ExplorerのAWS Organizations連携機能のセットアップ手順と課題となりやすいポイントを紹介しました。本稿がOrganizations配下のAWSアカウントの運用管理のお役に立てば幸いです。