【アップデート】AWS Backup Audit Managerからレポートを一元的に管理できるようになりました

みなさん、こんにちは。サニービュー事業部の小寺です。
re:Inventで発表されたAWS Backup Audit Managerの新機能として、 AWS Organizations によって管理される複数のアカウントに渡って一元的なレポーティングが可能になりました。

https://aws.amazon.com/jp/blogs/storage/creating-compliance-insights-across-regions-and-accounts-with-aws-backup-audit-manager-reports/

AWS Backupとは

AWS Backup はフルマネージド型のバックアップサービスであり、AWS以外のVMware ワークロードや AWS Storage Gateway ボリュームなど、ハイブリッド環境で実行されているアプリケーションでもバックアップの一元化や自動化ができるようになります。
1 つの場所でバックアップポリシーを設定し、AWSリソースのアクティビティを監視できるので、カスタムスクリプト等は不要になります。
AWS Backup Audit Managerについての過去記事はこちら。

本アップデート内容

今までも、AWS Backup Audit Manager のレポート機能により、各AWSアカウント単体でレポートの作成は可能でした。
それが今回のアップデートにより、Organizationsの管理アカウントにて１つのレポートに集約することができるようになりました。

https://aws.amazon.com/jp/blogs/storage/creating-compliance-insights-across-regions-and-accounts-with-aws-backup-audit-manager-reports/より引用

AWS Organizations の管理アカウントで AWS Backup Audit Manager の report plan を作成することで、 Organizations で管理される任意のアカウントについてデータ保護ポリシーやバックアップリストアの履歴データを集約したレポートが生成できます。
アカウントやリージョンをまたがったコンプライアンス対応が簡単にできるようになりました。

試してみるには

Organizationsの管理アカウントにて１つのレポートに集約するための、サンプルの CloudFormation テンプレートはこちら。

上記テンプレートには、以下の構成が含まれています。
まずは、レポートの送信先S3バケットに新しいファイルが挿入されたときにイベントを取得する Amazon EventBridge ルールです。このルールは、イベントを AWS Lambda 関数に送信します。Lambdaはイベントを処理し、AWS Glue テーブルに新しいパーティションを作成します。
AWS Glue データカタログとテーブル、レポートのタイプごとに 1 つのテーブル (バックアップジョブ、コピージョブ、復元ジョブ、コントロールコンプライアンス、リソースコンプライアンス)が作成されます。
Glue テーブルに対してクエリを実行するための Amazon Athenaも含まれています。
本CloudFormationは、集約されたレポートに対して、 Amazon S3 で直接データをAthenaで分析することもでき、カスタマイズも可能です。