委任管理者を使用して、アカウントへのアクセスを有効にする方法
包括的なAWSインフラストラクチャ監視のために、Site24x7は、アカウントで現在実行されているさまざまなサポート対象サービスのインスタンスを自動的に検出する必要があります。これを有効にするには、Site24x7がリソースにアクセスできるように認証/承認する必要があります。これは、IAMユーザーロールまたはクロスアカウントIAMロールを手動で作成することで実現できます。
また、 AWS
CloudFormationテンプレート、AWS Control
Tower、AWS IAM
Identity Center方式を使用して、AWSアカウントをSite24x7と統合することもできます。
委任管理者方式では、AWS組織内のメンバーアカウントを委任管理者として指定することで、AWSアカウントとSite24x7をシームレスに統合できます。このアプローチにより、委任管理者アカウントはすべてのメンバーアカウントにわたるAWSリソースの統合と監視を管理できるため、操作が合理化され、セキュリティが強化されます。
ユースケース
- 複数のAWSアカウントがあり、それらのリソースを集中的に監視したい場合、メンバーアカウントを委任管理者として指定することで、すべてのAWSアカウントをSite24x7と統合し、統合された監視と管理が可能になります。
- 頻繁に新しいAWSアカウントを追加し、統合と監視のための合理化されたプロセスを必要とする組織がある場合、委任管理者による登録方法を使用すると、監視したい新しいAWSアカウントをSite24x7にすばやく統合し、一貫した監視を確保できます。
前提条件
以下が必要になります。
- 委任管理者アカウント
- 検出に必要なリソースを作成するためのCloudFormationスタックに対する以下の権限:
- " iam:AttachRolePolicy"
- "iam:CreatePolicy"
- "iam:CreateRole"
- "iam:PassRole"
- "iam:GetRole"
- "lambda:AddPermission"
- "lambda:CreateFunction"
- "lambda:GetFunction"
- "lambda:InvokeFunction"
- "logs:CreateLogGroup"
- "logs:DescribeLogGroups"
- "cloudformation:CreateStackSet"
- "cloudformation:DescribeStackSet*"
- "cloudformation:ListStackSet*"
- "cloudformation:CreateStackInstances"
- "cloudformation:ListStackInstances"
- "cloudformation:DeleteStackInstances"
- "cloudformation:DeleteStackSet"
- "organizations:ListAccounts"
- "organizations:ListAccountsForParent"
- "organizations:ListChildren"
- "sts:GetCallerIdentity"
統合に委任管理者方式を使用するメリット
委任管理者方式を使用してAWSアカウントをSite24x7と統合する利点は以下の通りです。
- 一元管理:委任管理者アカウントを割り当てると、複数のアカウントにわたるAWSリソースの一元的な監視が容易になり、監視および管理タスクが簡素化されます。
- セキュリティ強化:委任管理者方式では、AWS管理アカウントへの直接アクセスの必要性を最小限に抑えることで、広範なアクセス権限に関連する潜在的なセキュリティリスクを軽減します。
- スケーラビリティ:委任管理者アカウントが組織に追加された新しいAWSアカウントを統合および監視できるようにすることで、効率的なスケーリングが可能になります。
- ガバナンスとコンプライアンスの向上:委任管理者方式により、組織は委任管理者アカウントの下にあるすべての
AWSアカウントにガバナンスとコンプライアンスの標準を適用できます。このアプローチにより、コンプライアンスのレポートと監査の準備が簡素化され、手動での監視作業が軽減されます。
委任管理者アカウントの設定方法
メンバーアカウントを委任管理者として割り当てると、そのアカウントのユーザーとロールは、組織の管理アカウントにアクセスしなくても AWS CloudFormation
StackSetsを管理できます。これにより、組織の管理とStackSetsの管理を分離して、セキュリティと制御を向上させることができます。
委任管理者アカウントがまだ設定されていない場合は、次の手順に従って登録してください。
- 管理アカウントの管理者としてAWSにサインインし、AWS CloudFormation
consoleを開きます。
- ナビゲーションペインからStackSetsを選択します。
- 委任管理者配下で、委任管理者の登録を選択します。
- 委任管理者の登録のダイアルボックスで、委任管理者の登録を選択します。
メンバーアカウントが委任管理者の登録として正常に登録されたことを示す成功メッセージが表示されます。
委任管理者方式を使用してAWSアカウントとSite24x7を統合
委任管理者方式を使用して、すべてのAWSアカウントをSite24x7に統合するには、以下の手順に従ってください。
- Site24x7Webコンソールにログイン
- Cloud→AWS→AWSアカウント統合に移動
- 委任管理者を登録を選択
- CloudFormationスタックを作成する必要があるAWSリージョンを選択
- IAMロールに添付する権限を選択します。 Site24x7は、IAMロールの権限に2つのオプションを提供します。
- デフォルト読み込み専用アクセスポリシー:IAMロールは、すべてのサービスに対してAWSが管理する「ReadOnlyAccess」ポリシーで作成されます。
- Site24x7のカスタム
ポリシー:IAMロールは、Site24x7がサポートするサービスに必要な読み取り専用のアクセス許可を持つインラインポリシーで作成されます。詳細はこちら。
- Create Role ARNsをクリック
アカウント内のCloudFormationスタックが自動的に必要なコンポーネントをすべて作成します。詳細はこちら。
IAMロールの作成後、CloudFormationスタックとスタックセットは、Lambda関数経由でSite24x7にロールARNを送信します。
- 表示名を入力
- Accounts Filterフィールドにフィルタリングする正規表現を入力するか、Select Accountsリストから統合するアカウントを選択します。
- ロールARNの詳細が取得されると、AWS連携の詳細設定オプションを使用して、設定(サポートされる各AWSサービスのデフォルトのしきい値プロファイルなど)、リソース終了アラートのミュート、ガイダンスレポートのカスタマイズを行うことができます。
- 「ディスカバリーオプション」セクションのサービスディスカバリーリストから、Site24x7と統合したいサービスを選択します。Site24x7と統合された管理アカウント内で、統合されたアカウントをすべて表示できます。
- AWSリソースをディスカバリーをクリックして、アカウントを追加
AWSアカウントが委任管理者方式でSite24x7に統合されると、[Cloud]→[AWS]→[委任管理者アカウント]から、すべての委任管理者アカウントを表示できます。
スケジュールレポートをクリックして、委任管理者アカウントレポートを生成します。このレポートには、委任管理者アカウントの詳細がCSV形式で記載されています。
委任管理者親アカウントにリンクされたすべてのアカウントは、[Cloud]→[AWS]→[リンク済みアカウント]から委任管理者リンク済みアカウントページにリストされます。スケジュールレポート
をクリックすると、委任管理者のリンク済みアカウントの詳細がCSV形式で記載された委任管理者リンク済みアカウントレポートが作成されます。
-
- 委任管理者親アカウントを削除すると、委任管理者リンクアカウントもすべて削除されます。
- 委任管理者親アカウントの既存の設定を変更すると、委任管理者リンクアカウントの既存の設定も上書きされます。
- 委任管理者リンクアカウントの設定を変更すると、変更はリンクアカウントのみに反映され、委任管理者親アカウントやその他のリンクアカウントには影響しません。
- 統合AWSアカウント→詳細設定で「自動的に停止したアカウントを削除する」オプションが有効になっている場合、停止されたAWSアカウントはすべてSite24x7から恒久的に削除されます。
委任管理者インベントリダッシュボードとカスタムダッシュボード
委任管理者インベントリダッシュボードでは、委任管理者の親アカウントおよびリンクされたアカウントのリソースを一元的に表示します。監視対象のリソース、地域ごとのリソースの内訳、AWS環境を効率的に管理するための主要なメトリックに関する洞察を提供します。
委任管理者の親アカウントの詳細を表示するには、インベントリダッシュボードに移動し、右上隅にある親アカウントオプションに切り替えて、親アカウントで検出されたリソースのデータを表示します。委任管理者統合を通じて検出されたすべてのリソースの統合データにアクセスするには、オプションをリンクアカウントに切り替えます。
カスタムダッシュボードの地理マップウィジェットには、委任管理者の親アカウントとリンクされたアカウントのリソースの地域別内訳が表示されます。地域マップを表示するか、地域のリソースの数値データを表示するかを選択できます。
カスタムダッシュボードの監視数ウィジェットには、すべての委任管理者アカウントの合計監視数が表示されます。
表示される内容は次のとおりです。
- 親アカウントとリンクされたアカウントの両方の監視対象リソースの合計数
- 地域ベースのサービス数を数値で分割したもの
- 地域ベースのサービス分布を数値オプション付きの表形式で表したもの
- 縦棒グラフのオプションで、選択した期間におけるさまざまなAWSサービスの稼働状況を視覚化したもの
Control Towerのアカウントを委任管理者に移行する
すでにControl Tower方式でAWSアカウントをSite24x7に統合している場合は、アクティブにリンクされているすべてのControl
Towerアカウントを委任管理者アカウントにシームレスに移行できます。
すでに5つのAWSアカウントをControl Tower方式でSite24x7に統合し、Control
Towerアカウントで管理する代わりに、この責任を特定のメンバーアカウントに委任したいとします。委任された管理者アカウントに移行することで、選択したControl
Towerアカウントのすべての設定とリンクされたアカウントが委任された管理者アカウントに転送され、シームレスな移行が保証されます。
Control Towerのアカウントを委任管理者に移行する方法は以下の通りです。
- Control Towerアカウントに移動
- 編集をクリック
- 統合AWSアカウントの編集ページで、委任管理者に登録を選択
- Click Role ARNの作成をクリック
お客様のアカウント内のCloudFormationスタックは、委任管理者アカウントに必要なコンポーネントをすべて自動的に作成します。詳細はこちら。
Role ARNを作成すると、CloudFormationスタックとスタックセットは、Lambda関数を介してRole ARNをSite24x7に送信します。
- 任意で表示名を入力
- 保存をクリック
保存をクリックすると、選択したControl Towerアカウントのすべての設定とリンクされたアカウントが委任管理者アカウントに移行されます。