security
A
信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
AWS Organizations詳細設定 — 委任管理者・タグポリシー・バックアップポリシー
AWS Organizationsのマスターアカウントとメンバーアカウントの役割、委任管理者(Delegated Administrator)設定、タグポリシーによるタグの標準化、バックアップポリシー、AI サービスオプトアウトポリシーを解説。
一言結論
OrganizationsのSCP以外のポリシー(タグポリシー・バックアップポリシー等)と委任管理者を活用することで、マスターアカウントへのアクセスを最小化しながらセキュリティ・コンプライアンス管理を組織全体に適用できる。
Organizations のポリシータイプ
AWS Organizationsのポリシー種類:
1. SCP(Service Control Policy):
→ サービスのアクション許可/拒否
→ マスターアカウントには適用されない
2. タグポリシー(Tag Policy):
→ タグキー・タグ値の標準化を強制
→ タグの命名規則を組織全体に適用
3. バックアップポリシー(Backup Policy):
→ AWS Backupのバックアッププランを組織全体に適用
→ マスターアカウントで一元的にバックアップを管理
4. AIサービスオプトアウトポリシー(AI Services Opt-out Policy):
→ Amazon Comprehend/Lex/Polly等のAIサービスでの
データ利用のオプトアウト
→ GDPRコンプライアンス等に使用マスターアカウントの特権と責任
マスターアカウントのみができること:
→ Organizations自体の管理(OU/アカウントの作成等)
→ SCPの作成・適用
→ 全メンバーアカウントの請求を統合管理
→ メンバーアカウントの解除/削除
マスターアカウントへのSCP適用:
→ SCPはマスター(Management)アカウントには適用されない
→ マスターアカウントのIAMポリシーは通常通り機能
→ マスターアカウントを保護するために最小限の操作のみ行う
マスターアカウントのベストプラクティス:
✅ マスターアカウントでは日常的な作業を行わない
✅ マスターアカウントに人間のIAMユーザーを作らない
✅ MFAを必ず有効にする
✅ Control Towerで管理する(Log Archive, Auditアカウントを分離)委任管理者(Delegated Administrator)
特定のAWSサービスの管理をマスターアカウントからメンバーアカウントに委任できる。
# SecurityHubの委任管理者を設定
aws organizations register-delegated-administrator \
--account-id 111111111111 \
--service-principal securityhub.amazonaws.com
# GuardDutyの委任管理者を設定
aws organizations register-delegated-administrator \
--account-id 111111111111 \
--service-principal guardduty.amazonaws.com
# 委任管理者の一覧確認
aws organizations list-delegated-administrators \
--service-principal securityhub.amazonaws.com委任管理者を設定できるサービス(例):
→ AWS Security Hub
→ Amazon GuardDuty
→ Amazon Inspector v2
→ Amazon Macie
→ AWS Config
→ AWS IAM Access Analyzer
→ AWS CloudTrail(Organizations Trail)
→ Amazon Detective
メリット:
→ セキュリティ専用アカウントにセキュリティサービスの管理を集中
→ マスターアカウントへのアクセスを最小化
→ 職務分離の実現(セキュリティチームがセキュリティサービスを管理)タグポリシー
# タグポリシーの作成(Environment タグの値を制限)
aws organizations create-policy \
--type TAG_POLICY \
--name "environment-tag-policy" \
--description "Enforce Environment tag values" \
--content '{
"tags": {
"Environment": {
"tag_key": {
"@@assign": "Environment"
},
"tag_value": {
"@@assign": ["production", "staging", "development"]
},
"enforced_for": {
"@@assign": ["ec2:instance", "s3:bucket"]
}
}
}
}'
# タグポリシーをOUに適用
aws organizations attach-policy \
--policy-id p-xxx \
--target-id ou-root-xxxタグポリシーの機能:
@@assign: 値を設定
@@append: 既存の値に追加
@@remove: 特定の値を削除
enforced_for: タグが必須のリソースタイプ
→ 指定したリソースでタグがない場合、タグコンプライアンス違反として記録
→ ただし作成自体はブロックしない(SCPとは異なる)バックアップポリシー
# バックアップポリシーの作成
aws organizations create-policy \
--type BACKUP_POLICY \
--name "daily-backup-policy" \
--description "Daily backup for all production accounts" \
--content '{
"plans": {
"ProdDailyBackup": {
"regions": {
"@@assign": ["ap-northeast-1", "us-east-1"]
},
"rules": {
"DailyRule": {
"schedule_expression": {"@@assign": "cron(0 3 * * ? *)"},
"start_backup_window_minutes": {"@@assign": "60"},
"target_backup_vault_name": {"@@assign": "Default"},
"lifecycle": {
"delete_after_days": {"@@assign": "90"}
}
}
},
"selections": {
"tags": {
"BackupSelection": {
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/AWSBackupRole"},
"tag_key": {"@@assign": "Backup"},
"tag_value": {"@@assign": ["true"]}
}
}
}
}
}
}'試験頻出ポイント
| シナリオ | 回答 |
|---|---|
| SCPがマスターアカウントに適用されるか | されない(マスターアカウントは除外) |
| セキュリティサービスの管理を別アカウントに委任 | 委任管理者(Delegated Administrator) |
| タグの命名規則を組織全体に強制 | タグポリシー |
| バックアッププランを組織全体に適用 | バックアップポリシー |
| マスターアカウントのベストプラクティス | 日常操作はしない、IAMユーザーを作らない |
まとめ
AWS OrganizationsはSCP以外にも、タグポリシー、バックアップポリシー、AIサービスオプトアウトポリシーを提供する。委任管理者を使うことでセキュリティサービスの管理を専用アカウントに集中でき、マスターアカウントへのアクセスを最小化できる。