AWS マネジメントコンソールの画面上部の色が変えられるようになりました。
今までもスイッチロールの際に色を選べて、IAM ロールごとに色を変えることはできましたが、アカウント ID の表示部分は変えられなかったので、どのアカウント ID の操作をしているか分かりづらい感じがありました。
マルチアカウントで作業する場合、誤って別のアカウントを操作してしまうオペレーションミスを防ぐため、アカウントごとに色を変えると予防につながると思います。
早速アカウントカラーを設定しようとしたら、対象のアカウントが Organizations のメンバーアカウントであり、アカウントカラーの機能を提供している AWS User Experience Customization (UXC) サービスに対する許可設定をサービスコントロールポリシー (SCP) に追加していなかったため、操作を禁止されてしまいました。
そこで SCP に UXC を許可する設定を追加し、アカウントカラーを変えられるようにしてみます。
SCP に UXC の許可設定を追加
私の環境では、一部のグローバルサービスを除いて東京・大阪リージョン以外でサービスを実行できないよう SCP を設定しています。
今回追加された UXC サービスもグローバルサービスのため、上記の SCP に UXC サービスの操作を許可する設定を追加します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideRequestedRegions",
"Effect": "Deny",
"NotAction": [
# (略)
"uxc:*", # 追加
# (略)
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"ap-northeast-1",
"ap-northeast-3"
]
}
}
}
]
}
上記の例ではアスタリスクで UXC を全て許可していますが、厳密な環境では uxc:GetAccountColor, uxc:PutAccountColor, uxc:DeleteAccountColor を明示的に許可した方がよいかと思います。
マネジメントコンソールからアカウント表示設定の変更
SCP を変更したら、これが適用されているアカウントでアカウントカラーを設定してみます。
マネジメントコンソールから「アカウント」を開きます。
ドロップダウンリストで色を選択できるので、好きな色を選びます。
マネジメントコンソールの画面上部の色が変わりました。
他の色も見てみます。デフォルトは灰色になっています。
こちらは青に変更したところです。
チームで作業する場合、例えば検証環境アカウントを緑に、本番環境アカウントを赤にといったようにルールを決めておけば、誤って別のアカウントを操作してしまう事故のリスクを減らすことができるかなと思います。
Organizations のメンバーアカウントの場合、SCP で操作を許可されてない場合がありますので、その場合は管理アカウントのオーナーに相談してみましょう。