AWS Organizationsを活用したマルチアカウントのセキュリティサービス使用方法 ~10. Trusted Advisor~
Organizationsシリーズ第十弾、Trusted Advisor編です。
今回でサービス別の紹介は最後になります。
AWS Trusted Advisorとは
AWS Trusted Advisor(以下Trusted Advisor)を使用すると、AWSが推奨するベストプラクティスに従い、以下5点の観点でアドバイスを受けることができます。セキュリティのサービスというよりは、セキュリティのアドバイス機能を含むサービスという感じです。
- コスト
- パフォーマンス
- セキュリティ
- フォールトトレランス
- サービス制限
すべてのチェック結果を確認するためにはビジネスサポート以上のサポートプランが必要です。
Organizationsを使用したマルチアカウント設定
Trusted AdvisorはOrganizationsに対応しているため、複数アカウントの情報を1アカウントに集約できます。アカウントの委任には対応していないため、確認はManagement(親)アカウントで行う必要があります。
Organizationsを使用した組織ビューを有効にするには、Managementアカウントでビジネスサポート以上のサポートプランに加入する必要があります。
また、組織ビューは単体アカウントで確認するときのように画面上から情報を見るのではなく、レポートとしてJSONまたはCSV形式でダウンロードする機能のようです。今後は画面上で見れる機能も追加されるかもしれません。
設定手順
設定方法は簡単です。Trusted Advisorの画面から、組織ビューを有効化するだけです。
有効化すると、レポートを作成できるので作成してみます。
レポートの形式や含める情報を入力します。今回はCSV形式で、すべての情報を含めます。
レポート対象のアカウントを指定します。今回はすべてのアカウントを含めるためRootを選択します。
アカウントの一覧はOUごとに表示され、OU別で選択もできます
しばらくするとレポートの作成が完了し、ダウンロードできるようになります。
レポート名をクリックすると、要約を表示できます。
以下のように要約が表示されましたが、Managementアカウントのダッシュボードの数よりも少ないため、情報が一部反映されていないように見えます。
ダッシュボードは以下のとおりで、↑の要約よりも多くなっています。
どうやら、反映に時間がかかるようで、5日ほどたってまた見ると以下のようにGreen以外は一致していました。
Greenについては、AWS公式ドキュメントに以下の記載があり、組織ビュー側では表示されない項目があるようです。
一部のチェック項目では、リソースが Red または Yellow である場合にのみ表示されます。すべてのリソースが Green である場合は、レポートに表示されない場合があります。
次にレポートをダウンロードしてみます。
以下のように検知されたアカウントID、チェック内容がCSVファイルとして出力されます。
このままでは見にくいので、Excelでうまくまとめるか、JSONでS3に格納してAthenaやQuickSightで可視化するなどの工夫が必要そうです。
CSV以外にも以下の2ファイルがセットでダウンロードされます。
ダウンロードしたレポートには、Managemenetアカウントの情報しか含まれませんでした。 AWSサポートにも確認したところ、Managemenetアカウントだけではなくメンバーアカウントの情報も含まれるとのことでしたが、反映に時間がかかっているようです。
今後はこの更新が早くなると良いですね。
※5日後にダウンロードしたレポートも、メンバーアカウントの情報は含まれませんでした。
検証はここまでです。
さいごに
現時点では、組織全体の情報はCSV or JSONのレポートダウンロード形式となるため、きちんと分析するためにはもうひと工夫必要そうです。 まだOrganizationsに対応したばかりのため、今後、有効化するだけでいい感じに見えるようになるかもしれませんね。期待です。
次回はこれまでのサービスのOrganizations対応をまとめて振り返りたいと思います。