• アップデート概要
• 検証
• まとめ

AWS Organizationsのポリシー管理を委任できるようになったので、検証してみました。

aws.amazon.com

アップデート概要

これまで、AWS Organizationsのポリシー管理は組織の管理アカウントでしかできませんでした。
今回のアップデートで、ポリシー管理をメンバーアカウントに委任できるようになりました。

検証

Organizationsの「設定」→「委任」を押下します。

こちらのエディタで、誰に何を許可するかを定義できます。

例えば、メンバーアカウントでOrganizationsの画面を表示しようとすると、以下のよう表示できません。

そこで、先ほどのエディタで以下のように定義します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<accountID>:root"
            },
            "Action": [
                "organizations:List*"
            ],
            "Resource": "*"
        }
    ]
}

<accountID>は委任するメンバーアカウントで、今回は<accountID>に「organizations:List*」を許可しています。

再度、メンバーアカウントでOrganizationsの画面を表示しようとすると、今度は表示できました。

まとめ

アカウントが増えてくると管理を委任したいが、組織の管理アカウントに気軽にログインさせたくないケースが出てくると思います。
今回のアップデートで、マルチアカウントの運用の幅も広がるのではないかと思います。