fu3ak1's tech days

何事もシンプルに。主にAWS関連の記事を書いています

AWS Organizationsを活用したマルチアカウントのセキュリティサービス使用方法 ~10. Trusted Advisor~

Organizationsシリーズ第十弾、Trusted Advisor編です。

今回でサービス別の紹介は最後になります。

Organizationsの紹介(はじめに編)はコチラ

前回はコチラ

AWS Trusted Advisorとは

AWS Trusted Advisor(以下Trusted Advisor)を使用すると、AWSが推奨するベストプラクティスに従い、以下5点の観点でアドバイスを受けることができます。セキュリティのサービスというよりは、セキュリティのアドバイス機能を含むサービスという感じです。

  • コスト
  • パフォーマンス
  • セキュリティ
  • フォールトトレランス
  • サービス制限

すべてのチェック結果を確認するためにはビジネスサポート以上のサポートプランが必要です。

Organizationsを使用したマルチアカウント設定

Trusted AdvisorはOrganizationsに対応しているため、複数アカウントの情報を1アカウントに集約できます。アカウントの委任には対応していないため、確認はManagement(親)アカウントで行う必要があります。

Organizationsを使用した組織ビューを有効にするには、Managementアカウントでビジネスサポート以上のサポートプランに加入する必要があります。

また、組織ビューは単体アカウントで確認するときのように画面上から情報を見るのではなく、レポートとしてJSONまたはCSV形式でダウンロードする機能のようです。今後は画面上で見れる機能も追加されるかもしれません。

設定手順

設定方法は簡単です。Trusted Advisorの画面から、組織ビューを有効化するだけです。

f:id:fu3ak1:20210118224211p:plain

有効化すると、レポートを作成できるので作成してみます。

f:id:fu3ak1:20210118224721p:plain

レポートの形式や含める情報を入力します。今回はCSV形式で、すべての情報を含めます。

f:id:fu3ak1:20210118224812p:plain

レポート対象のアカウントを指定します。今回はすべてのアカウントを含めるためRootを選択します。

アカウントの一覧はOUごとに表示され、OU別で選択もできます

f:id:fu3ak1:20210118225156p:plain

しばらくするとレポートの作成が完了し、ダウンロードできるようになります。

レポート名をクリックすると、要約を表示できます。

f:id:fu3ak1:20210118231437p:plain

以下のように要約が表示されましたが、Managementアカウントのダッシュボードの数よりも少ないため、情報が一部反映されていないように見えます。

f:id:fu3ak1:20210118231518p:plain

ダッシュボードは以下のとおりで、↑の要約よりも多くなっています。

f:id:fu3ak1:20210118231707p:plain

どうやら、反映に時間がかかるようで、5日ほどたってまた見ると以下のようにGreen以外は一致していました。

f:id:fu3ak1:20210128001131p:plain

Greenについては、AWS公式ドキュメントに以下の記載があり、組織ビュー側では表示されない項目があるようです。

一部のチェック項目では、リソースが Red または Yellow である場合にのみ表示されます。すべてのリソースが Green である場合は、レポートに表示されない場合があります。

次にレポートをダウンロードしてみます。

f:id:fu3ak1:20210118225808p:plain

以下のように検知されたアカウントID、チェック内容がCSVファイルとして出力されます。

このままでは見にくいので、Excelでうまくまとめるか、JSONでS3に格納してAthenaやQuickSightで可視化するなどの工夫が必要そうです。

f:id:fu3ak1:20210118232322p:plain

CSV以外にも以下の2ファイルがセットでダウンロードされます。

  • summary.json – 各チェックカテゴリのチェック結果の概要が含まれます。要約画面で見えたいた情報です。
  • schema.json レポートに指定されたチェックのスキーマが含まれています。

ダウンロードしたレポートには、Managemenetアカウントの情報しか含まれませんでした。 AWSサポートにも確認したところ、Managemenetアカウントだけではなくメンバーアカウントの情報も含まれるとのことでしたが、反映に時間がかかっているようです。

今後はこの更新が早くなると良いですね。

※5日後にダウンロードしたレポートも、メンバーアカウントの情報は含まれませんでした。

検証はここまでです。

さいごに

現時点では、組織全体の情報はCSV or JSONのレポートダウンロード形式となるため、きちんと分析するためにはもうひと工夫必要そうです。 まだOrganizationsに対応したばかりのため、今後、有効化するだけでいい感じに見えるようになるかもしれませんね。期待です。

次回はこれまでのサービスのOrganizations対応をまとめて振り返りたいと思います。