前回はControlTower有効化後のコンソールの確認をしました。
投稿から間が空いてしまいましたが、今回はControlTowerでのアカウントの追加と削除の方法について書いていこうと思います。
ControlTower関連記事リンクまとめ
・ControlTower①マルチアカウント環境をセットアップする
・ControlTower②ControlTower内の状況確認
・ControlTower③SSOの確認・アカウントの追加・削除←今ここ
・ControlTower④ガードレールの設定
・ControlTower⑤Auditアカウントに作成されるリソースについて
・ControlTower⑥LogArchiveアカウントに作成されるリソースについて
・ControlTower⑦SecurityHubの有効化
・ControlTower⑧GuardDutyの有効化
・ControlTower⑨CloudWatchクロスアカウントダッシュボードの設定
・ControlTower⑩LogArchiveアカウント内バケットへのCloudWatchLogs集約
SSOの状態確認
ControlTowerを有効化すると、合わせてSSOが作成されます。
ユーザーポータルIDに表示されているURLからControlTower配下のアカウントにログインできます。
アクセス権限セット・グループも自動で作成されます。ControlTowerにより作成されるグループ・権限セットの一覧はユーザーガイドに記載があります。
初期状態だとControlTowerの管理者しかSSOを使えません。SSOにユーザーを追加し、ControlTowerのグループに所属させてあげましょう。
SSOへのユーザー追加は、SSOの「ユーザー」から行えます。
SSOのトップページからユーザーに移動し、「ユーザーの追加」を押下し設定を行います。
ユーザーの設定画面です。
ユーザーガイドを参照し、ユーザーに適したグループを選択し、ユーザーを追加しましょう。
SSOの設定を行い、SSOのユーザーポータルにログインするとこんな感じで表示されます。
※ExternalAccountは後から追加した設定なので本設定とは無関係です。
アカウントの追加設定
OUの状態確認
現時点では、RootOU・SecurityOUと一緒にControlTower構築時に追加で設定したSandboxOUが存在する状態です。試しにこのSecurityOUにTestアカウントを追加していきます。
AccountFactoryでアカウントを追加する
ControlTowerのトップページからAccountFactoryに移動します。
右上に表示されている「アカウントの登録」ボタンからアカウントの登録画面に移動します。
アカウントの登録画面です。
必要な情報を入力し「アカウントの登録」を押下します。
AccountFactoryのトップページに戻ります。
アカウントの登録操作が完了すると、上部に「登録リクエストが送信されました」と表示されます。アカウントの登録はServiceCatalogで行われます。上部に表示されている「ServiceCatalog」のリンクから該当の製品を確認できます。
しばらく待ってからアカウントの管理画面を確認すると、設定した「Test」という表示名でアカウントが表示されます。アカウントの登録操作をした直後は「Test」アカウントの所属するOUは「Root」となっていましたが、登録リクエストが完了すると無事「Sandbox」OU所属の表示に移り変わりました。
OUの再登録
AccountFactoryでアカウントを追加したら、OUの再登録も合わせて行ってあげましょう。
「OUの再登録」は、アカウントを追加した場合以外にもControlTowerのリージョンを追加した場合などに行います。
ControlTowerのトップページから「組織単位」に移動し、「OUを再登録」ボタンを押下します。
OU再登録の確認画面が表示されます。
「OUを再登録」ボタンを押下します。
OUの再登録が始まります。表示では60分ほどかかると出ていますが、体感では30分くらいで完了しました。
SSOの権限設定
アカウントを追加したので、SSOの権限追加もしてあげる必要があります。
SSOのトップページから「AWSアカウント」に移動すると、先ほど追加した「Test」のアカウントが表示されています。
アカウント名のリンクから詳細画面に移動します。
「ユーザーの割り当て」を押下します。
ユーザーの割り当て画面が表示されます。
ユーザー・グループを割り当て、権限セットを追加してあげます。
設定が完了するのに数分かかります。
設定が完了すると、SSOのログインページから追加したアカウントにログインできるようになります。
新規作成アカウントのrootユーザーのパスワードを取得する
AccountFactoryでアカウントを作成すると、rootユーザーのログインパスワードが不明な状態になります。そのため、アカウント作成後にパスワードの再設定を行い、rootユーザーのパスワードを取得しておきましょう。
パスワードの再設定は、AWSアカウントのルートユーザーログイン画面から行います。
メールアドレスを入力後、「パスワードをお忘れですか?」のリンクからパスワードの再設定を行いましょう。
また、必須のガードレールにて「ルートユーザーの MFA が有効になっているかどうかを検出する」というルールが設定されるので、ルートでログインしたらMFAの設定も追加しておきましょう。
アカウントをControlTowerから削除する
また、アカウントをControlTowerの管理対象から外す場合はServiceCatalogから設定を行います。
ServiceCatalogのトップページから、「プロビジョニングされた製品」に移動します。
名前のリンクから詳細画面に移動し、「アクション」>「終了」でプロビジョニングされたアカウントを終了します。
ServiceCatalog上からプロビジョニングされたアカウントを終了することで、アカウントはControlTowerの管理から外れます。ただし、アカウント自体は残っているので、ルートユーザーでログインしアカウントの削除を行う必要がある点に注意してください。
ControlTowerによりSSOや権限セットが追加されているので、初回構築時のSSO設定やアカウントの新規作成時の作業が少し簡略化できますね。
アカウントの役割整理
Cont
次回はControlTowerのガードレール追加について書いていこうと思います。
ここまでお読みくださりありがとうございました。