こんばんは。小寺です。
組織の管理アカウント以外のアカウントへ委任して、AWS Health ダッシュボードまたは AWS Health API 経由からアクセスできるようになりました。
https://aws.amazon.com/jp/about-aws/whats-new/2023/07/aws-health-delegated-administrator/
AWS Healthとは
簡単にAWS Healthについて、振り返ってみます。
元々、AWS HealthダッシュボードはService Health Dashboard と Personal Health Dashboardに分かれていました。AWS Healthのダッシュボードから、イベントを使用して、アカウントに影響する可能性のある今後の変更や予定された変更について確認ができます。
Healthイベントには2つの種類があります。
・アカウント固有のイベント
AWS アカウント、または AWS組織内のアカウントに固有のイベントが表示されます。アカウント内のリソースで問題があった場合、対象リソースについての情報が表示されます。
・パブリックイベント
パブリックイベントは、アカウント固有ではないイベントです。例えば、特定リージョンの特定サービスの障害通知が確認できます。
AWS Health は、そのサービスを使用していなくても、またそのリージョンでサービスを利用していても、イベントに関する情報が表示されます。
アップデート内容
元々組織の管理アカウントしかHealthダッシュボードを参照することができませんでした。本アップデートから、指定したメンバーアカウントに対して、権限の委任を行うことでHealthダッシュボードへアクセス可能になりました。
柔軟なマルチアカウント戦略の一歩となるアップデートですね。また、AWSのセキュリティのベストプラクティスとして、可能な限り管理アカウントの外部に責任を委任することが推奨されています。
また、AWS Business、AWS Enterprise On-Ramp、および Enterprise Supportをご利用のお客様は、AWS Health API を使用して、同じAWS HealthダッシュボードにAPI経由でアクセスできます。
本機能を有効化するには、CLI経由で最大5つまでのメンバーアカウントへ委任ができます。委任された管理者機能は、AWS Health Dashboard と Health API が利用できるすべての商用 AWS リージョンで利用できます。
権限を委任してみるには
まずは、以下の前提条件があります。
・AWS Health の組織ビューが有効化されていること
有効化されていなければ、まず有効化しましょう。
・委任できるメンバーアカウントは最大で5つ
・マネジメントコンソールから有効化はできず、CLIで実行
・コマンドの実行は管理アカウントまたは必要な IAMロールを引き受けることができるアカウントから実行可能
CLIで以下を実行します。
ACCOUNT_IDは委任したいメンバーアカウントのIDです。
aws organizations register-delegated-administrator --account-id ACCOUNT_ID --service-principal health.amazonaws.com
メンバーアカウントへ委任された管理者が登録されると、組織全体のアカウントに影響を与えるすべての AWS Health イベントが表示されるようになります。
過去 90 日間、または組織ビュー機能が最初に有効になってからのどちらか新しい方の履歴イベントを表示できます。
委任されたAWSアカウントの委任を解除する場合は以下コマンドを利用します。aws organizations deregister-delegated-administrator --account-id ACCOUNT_ID --service-principal health.amazonaws.com
まとめ
今日は、AWS Healthダッシュボードを組織のメンバーアカウントに委任できるようになったアップデート情報をお伝えしました。
マルチアカウント戦略としても、ベストプラクティスは管理アカウントでできることを制限して、他メンバーアカウントへの委任を進めることなので、有効なアップデートだと思います。