概要
AWS Organizationsで、配下のメンバーアカウントのルートメールアドレスを一元管理できるようになった旨のリリースがありました。
▼寝起きにこのリリースを読んだときの私の反応
Organizationsの管理アカウント側で勝手にメンバーアカウントのルートメールアドレス変えられちゃっていいのか?本当にできちゃうのか気になって、2度寝出来なくなったので試してみてブログ書いてます。
Bedrockネタじゃなくてすまんの
前提条件
- 管理アカウント側で、信頼できるサービスアクセス「AWS Account Management」有効にする
注意点
- 管理アカウント側でルートメールアドレスを変更しても、パスワードやMFA構成は以前のまま
- 新メールアドレスでログインを施行して「パスワードのリセット」でパスワードは変更可能
やってみた
一般のご家庭なら大抵ある個人アカウントOrganizationsで試してみました。
メンバーアカウントを用意
メールアドレス: xxxxxxx+v2@gmail.comを設定したメンバーアカウントを用意しました。
※この段階(信頼できるサービスアクセス「AWS Account Management」が無効)では、メンバーアカウント詳細画面を開いてもメールアドレスの変更はできません。
信頼できるサービスアクセス「AWS Account Management」有効化
AWS Organizationsコンソールから「サービス」画面を開いて「AWS Account Management」をクリックします。
「AWS Account Management」画面に移動するので「信頼されたアクセスを有効にする」ボタンをクリックします。
確認ウィザードが表示されるので「有効化」と入力して「信頼されたアクセスを有効にする」ボタンをクリックします。
「AWS Account Management に対する信頼されたアクセスを正常に有効にしました。」と表示されたら有効化完了です。
メンバーアカウントのルートメールアドレスを変更
メンバーアカウントの詳細画面に移動すると、先程はなかった「アクション」が表示されていることが確認できます。
「アクション」から「Eメールアドレスを更新」をクリックします。
「Eメール」セクションでメールアドレスを入力して「保存」をクリックします。
今回はエイリアスをv2からv3に変更してみました。
検証メール受信
変更した新メールアドレス宛てに検証メールが届くので認証コードをコピーする。
※認証コードは24時間で切れます。
認証コード入力
認証コードを入力して「確認」ボタンをクリックします。
変更確認
画面に「ルートユーザーのEメールアドレスが正常に更新されました」と表示されれば、完了です。
簡単にできちゃったなあ。。
つまり、今回の機能追加によって管理アカウント側でメンバーアカウントのメールアドレスと、パスワードのリセットによるパスワード変更まで可能となったということになりますね。
結論
MFA、兎に角MFAを設定しましょう。