AWS Organizationsのポリシー管理を委任できるようになったので、検証してみました。
アップデート概要
これまで、AWS Organizationsのポリシー管理は組織の管理アカウントでしかできませんでした。
今回のアップデートで、ポリシー管理をメンバーアカウントに委任できるようになりました。
検証
Organizationsの「設定」→「委任」を押下します。
こちらのエディタで、誰に何を許可するかを定義できます。
例えば、メンバーアカウントでOrganizationsの画面を表示しようとすると、以下のよう表示できません。
そこで、先ほどのエディタで以下のように定義します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountID>:root" }, "Action": [ "organizations:List*" ], "Resource": "*" } ] }
<accountID>は委任するメンバーアカウントで、今回は<accountID>に「organizations:List*」を許可しています。
再度、メンバーアカウントでOrganizationsの画面を表示しようとすると、今度は表示できました。
まとめ
アカウントが増えてくると管理を委任したいが、組織の管理アカウントに気軽にログインさせたくないケースが出てくると思います。
今回のアップデートで、マルチアカウントの運用の幅も広がるのではないかと思います。