Amazon Web Services ブログ
AWS Backup の委任管理者サポート
このブログは 2022 年 11 月 27 日に Enrique Ramirez (Senior Service Solutions Architect)によって執筆された内容を日本語化したものです。原文はこちらを参照してください。
AWS Backup のクロスアカウント管理機能を使用すると、バックアップポリシーを一元管理できるだけでなく、AWS Organizations の AWS アカウント間で、バックアップと復元、コピージョブをモニタリングできます。本日、バックアップポリシーとクロスアカウントモニタリングの管理を、AWS Organizations のメンバーアカウントに委任できるようになったことをお知らせします。つまり、毎日のデータ保護タスクを実行するために、管理アカウントを使用する必要はなくなりました。
このブログ記事では、AWS Backup のポリシー管理とジョブのモニタリングをメンバーアカウントに委任する手順について説明し、この新機能を設定する際の考慮事項を説明します。
バックアップ用の委任された管理者を追加する手順のウォークスルー
クロスアカウント管理機能には 2 つの機能があります。1 つ目は、AWS Organizations 全体でバックアップポリシーを作成する機能で、2 つ目はバックアップポリシーが適用されているすべてのメンバーアカウントでクロスアカウントのバックアップと復元、コピージョブをモニタリングする機能です。
前提条件
- AWS Backup ポリシーの管理を委任するために、AWS Organizations 管理アカウントの認証情報と、管理を委任するメンバーアカウント番号が必要です。
- AWS Backup ジョブのモニタリングを委任するには、AWS Backup でクロスアカウント管理を有効にする必要があります。詳細については、ドキュメントを参照してください。
両方の機能をメンバーアカウントに委任するには、2 段階の手順が必要です。まず、AWS Backup コンソールでメンバーアカウントを登録します。次に、AWS Organizations コンソールを使用してバックアップポリシーを管理するためのアクセス許可を委任します。
ステップ1: AWS Backup コンソールでジョブのモニタリングを委任する
1. 管理アカウントの認証情報を使用してログインし、AWS Backup コンソールに移動します。「設定」にて新しいセクションである「委任された管理者」まで下にスクロールしてください。
図 1:委任された管理者
2. 委任管理者を登録するには、「委任された管理者を登録」を選択します。これにより、組織に属するアカウントのリストが表示されます。アクセスを委任するアカウントを選択し、「委任された管理者を登録」を選択します。
図 2:委任された管理者を登録
3. 「設定」セクションの「委任された管理者」に、登録されたアカウントが表示されます。
図 3:委任された管理者の概要
注:最大 5 つのメンバーアカウントを代理管理者として登録できます
ステップ2: AWS Organizations コンソールでバックアップポリシーを委任する
1. 管理アカウントで「設定」に移動し、下にスクロールすると、「AWS Organizations の委任された管理者」という新しいセクションが表示されます。図 4 に示すように 「委任」 を選択します。
図 4:AWS Organizations の委任された管理者
2. JSON エディタにて、前のステップで AWS Backup でジョブのモニタリングを委任したものと同じメンバーアカウント ID を使用して、AWS Backup 管理を委任するためのポリシーを定義します。
参考として、バックアップポリシーをフルで管理するためのアクセス許可を提供する次のサンプル JSON ポリシーを使用します。MEMBER_ACCOUNT_ID を委任するアカウント ID に、MANAGEMENT_ACCOUNT_ID を AWS Organizations 管理アカウントのアカウント ID に置き換えてください。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ManagePolicies",
"Effect": "Allow",
"Principal": {
"AWS": "MEMBER_ACCOUNT_ID"
},
"Action": [
"organizations:List*",
"organizations:Describe*",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:CreatePolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::MANAGEMENT_ACCOUNT_ID:organization/policy/backup_policy/*",
"arn:aws:organizations::aws:policy/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "Tags",
"Effect": "Allow",
"Principal": {
"AWS": "MEMBER_ACCOUNT_ID"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::MANAGEMENT_ACCOUNT_ID:organization/policy/backup_policy/*"
}
]
}
複数のメンバーアカウントにアクセス許可を委任する必要がある場合は、Principal セクションの配列を使用して複数のアカウント ID を追加してください。複数のアカウント ID を使用した場合のセクションの表示例を以下に記載します。
"Principal" : {
"AWS": [
"123456789012",
"555555555555"
]
}
検証
上記の手順が完了したら、必要なアクセス許可が委任されているか検証することができます。AWS Backup コンソールで、委任された管理者に登録したアカウントでログインし、「設定」 に移動します。「委任された管理者」セクションに、登録されているメンバーアカウントが表示されます。
AWS Backup コンソール内で、画面左側のサイドメニューから「クロスアカウントモニタリング」を選択し、AWS Organizations 内の複数のアカウント間でバックアップや復元、コピーアクティビティのステータスをモニタリングできることを確認します。最後に、画面の左側にある「バックアップポリシー」に移動して、バックアップポリシーを作成、削除、変更できることを確認します。
クリーンアップ
管理者の委任機能には追加料金は発生しません。このブログ記事で紹介した設定を元に戻したい場合は、AWS Backup コンソールで委任されたメンバーアカウントの登録を解除し、「AWS Organizations の委任された管理者」セクションでポリシーを削除できます。
まとめ
このブログ記事では、AWS Backup の委任管理を設定して、AWS Organizations 管理アカウントへのアクセスを必要とせずに、AWS Backup の管理とクロスアカウント管理機能を管理 AWS アカウント以外に委任する方法を説明しました。これは、毎日のデータ保護タスクを実行するために管理アカウントを使用する必要がなくなったことを意味し、管理アカウントのアクセスを制限するという AWS 推奨のベストプラクティスに従うことができます。
AWS Backup のクロスアカウント管理と委任管理の詳細については、AWS Backup のドキュメントを参照してください。
翻訳はプロフェッショナルサービス本部の葉山が担当しました。