はじめに
2021/10/1 のアップデートで組織内のメンバーアカウントの代替連絡先を API 経由で管理できるようになりました。更に 2022/2/9 のアップデートで AWS Organizations コンソールでこれらの操作が簡単にできるようになりました。
代替連絡先とは
アカウント情報からオプションで設定できる請求、操作、セキュリティに関するやり取りのための連絡先を指します。組織内で複数アカウントを運用している場合、適切な部門が AWS の通知を受け取るようにしたいケースがあります。例えばセキュリティの連絡先を CSIRT や CCoE が管理する連絡先に設定しておくことで、不正利用 (Abuse Report) などの重要な通知を受け取り、応答できるようになります。
以前は各アカウントで代替連絡先を更新する必要がありましたが、前述のアップデートにより組織の管理アカウントまたは委任された管理者アカウントからメンバーアカウントの代替連絡先を設定できるようになっています。
やってみる
信頼されたアクセスの有効化
AWS Organizations で代替連絡先の管理を行うには以下の前提条件を満たしている必要があります。
- Organizations の「すべての機能」が有効になっている (デフォルト有効)
- AWS Account Management の「信頼されたアクセス」が有効になっている (デフォルト無効)
信頼されたアクセスが無効の状態で、アカウントの詳細から連絡先情報タブを選択すると以下のように表示されます。
信頼されたアクセスは AWS Organizations コンソールのサービスから有効化できます。
確認メッセージで「(推奨されません)」という文言がありますが、有効化して問題ありません。
信頼されたアクセスの有効化と無効化の操作は AWS Organizations ではなく、連携する各サービスのコンソールまたは CLI/SDK から実行することが推奨されています。各サービス側で有効化することで信頼されたアクセスの設定だけではなく、サービスで必要なリソース作成等の初期化が行われるためです。
重要
信頼されたアクセスの有効化と無効化には、信頼されたサービスのコンソールか、その AWS CLI または API のオペレーションのみを使用することを強くお勧めします。これにより、信頼できるアクセスの有効化に必要なすべての初期化処理が信頼できるサービスによって実行可能になります。例えば、必要なリソースの作成や、信頼できるアクセスの無効にする際のリソースのクリーンアップなどです。
上記の理由により「(推奨されません)」と表示されますが、AWS Account Management のように一部のサービスは AWS Organizations から有効化する必要があります。
有効化後にアカウントの連絡先情報タブから代替連作先の追加、編集、確認ができるようになります。
委任された管理者アカウントの設定
AWS Account Management は委任された管理者アカウントを設定可能ですが、2022年5月時点ではコンソールでの設定をサポートしていません。CLI/SDK からのみ設定できます。
$ aws organizations register-delegated-administrator \
--account-id 123456789012 \
--service-principal account.amazonaws.com
Organizations コンソールで代替連絡先の追加、編集、管理ができるのは組織の管理アカウントのみです。委任された管理者に設定された組織のメンバーアカウントは CLI/SDK のみから操作可能です。
また組織の管理アカウントの代替連絡先は、管理アカウント自身でのみ変更できます。
参考
今回はコンソールでの設定を中心に紹介しましたが、CLI での設定方法は以下のアナウンスブログが参考になります。
公式ドキュメント: AWS Account Management Reference Guide
以上です。
参考になれば幸いです。