Service Control Policy(SCP)の管理権限の委任が可能に
続いてはAWS OrganizationsでSCP等のポリシーの管理権限の委任が可能になったというアップデートです。
Organizationsは複数のAWSアカウントを集約管理するためのサービスです。OrganizationsにはSCPという権限制御を機能があり、この機能を使うためにOrganizationsを利用されている方も多いかと思います。SCPでは、特定のサービスの利用禁止を複数のAWSアカウントに対して強制させるといったことができるため、全社的なガバナンス向上といった目的で利用されることも多いです。
非常に有用な機能であるのですが、管理アカウントと呼ばれる強権限を保持しているAWSアカウント内でしか利用できないという制約があり、自由にSCPを利用できない場合も多かったかと思います。
今回のアップデートにより、SCPの管理権限を管理アカウント以外のメンバーアカウントに委任することができるようになりました。そのため、SCP利用時のハードルをぐっと下げることができたのではないかと思います。
ただし、Organizational Unit(OU)の管理権限はまだ委任することができませんので、OU操作を行う場合は、引き続き管理アカウントでの操作が必要となります。実際のところ、OUとSCPはセットで運用することが多い機能かと思いますので、OU管理権限の委任機能の発表にも期待したいところです。
またOrganizationsのアップデートとして、re:Inventの直前にCloudFormation対応という発表もありました。それまではSCPやOUといったOrganizationsの要素は、CloudFormationが対応していなかったため、Infrastructure as Code(IaC)として構成管理をしたい場合は、3rdパーティ製品のTerraform等を利用する必要がありました。AWSネイティブのサービスであるCloudFormationでのサポートがされたことにより、容易にOrganizationsの構成要素をIaCによる管理が実現しやすくなり、個人的には非常に嬉しいアップデートでした。
次回について
次回以降もAWS re:Invent 2022で発表のあったサービスアップデートを紹介していきます。ぜひご覧ください!