はじめに
AWS Control Towerを既に運用しているAWS Organizations環境に導入する際には、いくつか考慮すべき点があります。
この記事では、その前提条件と注意事項について書いていきます。
特に、AWS ConfigとAWS CloudTrailの「信頼されたアクセス」の一時無効化に焦点を当てます。
関連するドキュメント
- 前提条件: 管理アカウントの起動前自動チェック
- AWS CloudTrail および AWS Organizations
- AWS Config および AWS Organizations
- AWS Organizations を他のAWSサービスと併用する
ConfigとCloudTrailの「信頼されたアクセス」を一時的に無効にする
Control Towerをセットアップするにはいくつか前提条件があり、その1つがConfigとCloudTrailの「信頼されたアクセス」の無効化です。
一度無効化したうえでControl Towerをセットアップすることで再度有効化されます。
信頼されたアクセスを一時的に無効にした場合、以下のような疑問や心配が生じるかもしれません。
リソースはクリーンアップされるのか?
リソースの設定は変わるのか?
サービスは一時的に停止するのか?
AWSの公式ドキュメントによれば
一部のサービスはこれを検出し、統合に関連する残りのデータやリソースをクリーンアップします。一方で、組織へのアクセスを停止するものの、統合を再び有効にする場合のために履歴データと設定を残しておくサービスもあります。
サービスごとに挙動が異なるため、実際に試してみました。
① Configの「信頼されたアクセス」の無効化
①-1 (委任している場合)委任の解除
もし「config.amazonaws.com」を委任している状態であれば、まずはその委任を解除する必要があります。これを行わないと、Configを無効にすることはできません。Configの委任解除はManagement Consoleからは行えないので、AWS CloudShellから以下のコマンドを実行する必要があります。
どのアカウントが「config.amazonaws.com」に委任されているかを確認します。
aws organizations list-delegated-administrators --service-principal config.amazonaws.com
確認後、次のコマンドで委任を解除します。
aws organizations deregister-delegated-administrator --account-id "123456789012" --service-principal config.amazonaws.com
Control Towerのセットアップが完了したら、再度委任を設定する必要があります。その際に使用するコマンドは以下です。
aws organizations register-delegated-administrator --account-id "123456789012" --service-principal config.amazonaws.com
[注意]「config-multiaccountsetup.amazonaws.com」の委任は解除する必要はありません。これが委任された状態でも、Configの「信頼されたアクセス」は無効化でき、Control Towerのセットアップも問題なく完了します。
「config-multiaccountsetup.amazonaws.com」の委任を解除すると、委任アカウントから設定した組織の適合パックが全てのメンバーアカウントから削除されます。
組織の適合パックとは
適合パックは、どのConfigルールを組織に適用するかを設定したものです。
「config.amazonaws.com」と「config-multiaccountsetup.amazonaws.com」の違い
- 「config.amazonaws.com」は組織全体のConfigデータを集約するためのものです。
- 「config-multiaccountsetup.amazonaws.com」は組織全体のConfigルールと適合パックをデプロイおよび管理するためのものです。
参考: 委任された管理者からAWS Configルールと適合パックをデプロイする
①-2 委任を解除する場合の考慮点
一時的にアグリゲータが停止し、ダッシュボードにデータが収集されなくなります。再設定後、データ収集は再開します。
Configサービス自体は利用不可にはなりませんが、AWS Organizationsとの関係が一時的に途切れる形になります。
組織の集計ダッシュボードは一時停止しますが、個々のアカウントのConfigは無効になりません。
[再掲] ここで無効化しているのは「config.amazonaws.com」の委任です。もし「config-multiaccountsetup.amazonaws.com」の委任を解除すると、委任アカウントから設定された組織の適合パック(Conformance Pack)が全てのメンバーアカウントから削除されます。
対象アカウント
組織の集計ダッシュボードに一時的に情報が収集されなくなるのは、委任されたアカウントだけでなく、組織内のすべてのアカウントです。これは、Configサービスが組織内の各アカウントへのアクセス権限を一時的に失うためです。
停止期間
停止期間は、「Control Towerのセットアップにかかる時間」+「委任アカウントを再設定してから収集が再開するまでの時間」です。
①-3 「信頼されたアクセス」の無効化
1. AWS Organizationsコンソールを開き、左側のメニューから「サービス」を選択します。
2. サービス一覧から「Config」を探し、「信頼されたアクセスを無効にする」をクリックします。
①-4 「信頼されたアクセス」を無効化する場合の考慮点
特に影響ありません。各アカウントのConfig設定は削除されず、そのまま残ります。
② CloudTrailの「信頼されたアクセス」の無効化
②-1 「信頼されたアクセス」の無効化
1. AWS Organizationsコンソールを開き、左側のメニューから「サービス」を選択します。
2. サービス一覧から「CloudTrail」を探し、「信頼されたアクセスを無効にする」をクリックします。
②-2 「信頼されたアクセス」を無効化する場合の考慮点
組織の証跡が削除されます。削除された証跡は、「信頼されたアクセス」を再有効化しても自動的には再設定されません。ただし、S3に保存されている証跡データは削除されません。
組織の証跡ではない証跡は削除されず、ログ出力も停止しません。
まとめ
AWS Control Towerを設定する際には、いくつかのステップと注意点があります。この記事が導入作業に役立てば幸いです。
