【AWS】11/21(木) Organizations を使用するお客様のためのルートアクセスの一元管理可能

2024/11/21(木) Organizations を使用するお客様のためのルートアクセスの一元管理ができるようになったので調べてみた。
aws.amazon.com

アップデート内容

Organizationで管理している複数のAWSアカウントのルートユーザーを一元管理でき、ルートセッションで一時的な認証情報でルート接続できる。

ルートユーザ一元管理

下記が可能。
　・ルート認証情報の削除
　・認証情報のリカバリー不可設定
　・セキュアバイデフォルトアカウントのプロビジョニング
　　※最初からルート認証情報なしでアカウントの作成ができる。

やること

ルートアクセス管理を有効化し、特定のアカウントのルートユーザー認証情報を削除する。

実践！

１．ルートアクセス管理有効化
１－１．Organizationの管理アカウントにログイン
１－２．AWS - IAM -「ルートアクセス管理」
※OrganizationセクションではなくIAMセクションで設定します。

１－３．「有効化」

※Organizationの管理アカウント以外では操作できないようになっている

１－４．デフォルトのまま「有効化」

１－５．ルートアクセス管理有効化されたことを確認

２．特定のアカウントのルートユーザー認証情報を削除
２－１．Organizationの管理アカウントにログイン
※ルートユーザーでは操作できないので、AdministratorAccessを付与したSSOユーザーかIAMユーザーでログイン
２－２．AWS - IAM - 「ルートアクセス管理」

２－３．管理アカウント以外の変更対象のアカウントを選択し、「特権的なアクションを実行する」

２－４．「ルートユーザー認証情報を削除」のチェックを入れ、「ルートユーザー認証情報を削除」

２－５．「確認」と入力し、「削除」

２－６．「ルートユーザー認証情報」が「存在しない」になったことを確認

３．動作確認
３－１．ルートユーザーでログインできないことを確認