🏢 AWS Config × Organizations

企業の監査システムで理解する!Trusted Access と委任管理者の完全ガイド

🎯 AWS Organizations とは?

複数のAWSアカウントを一元管理するサービス

大企業が複数の部署(開発部、営業部、人事部など)を持つように、
AWSでも複数のアカウントを1つの組織として管理できます。

AWS Config は、これらすべてのアカウントのリソースが
ルール通りに設定されているかを監視する「監査システム」です✨

🏬 企業の監査システムで例えると...

🏢

AWS Organizations

= 大企業グループ全体

複数の部署や子会社を持つ大きな企業グループ。

📋 各部署(AWSアカウント)は独立しているが、全体を統括する本社(管理アカウント)が存在する。
🔍

AWS Config

= 社内監査システム

全部署が会社のルール(コンプライアンス)を守っているかチェックする監査部門。

✅ 「セキュリティ基準は満たしているか?」
✅ 「経費の使い方は正しいか?」
などを自動でチェック!
🤝

Trusted Access(信頼されたアクセス)

= 監査部門への全社アクセス許可

「監査部は全部署に立ち入って調査してOK」という本社からの正式な許可。

🔓 これがないと、監査部門は各部署に入れない!
👔

委任管理者(Delegated Administrator)

= 専任の監査部長を任命

本社(管理アカウント)の代わりに、監査業務を専門的に行う部長(特定のアカウント)を指名。

👨‍💼 本社は戦略に集中、監査部長が実務を担当!

🔄 2つの概念の違いを理解しよう

🤝 Trusted Access
(信頼されたアクセス)

🔑 権限の付与
AWS サービス(AWS Config)が Organization 全体にアクセスする「許可証」を発行すること
🎯 目的
全メンバーアカウントに対して、AWS Config が自動的に設定を読み取れるようにする
⚙️ 実行者
管理アカウント(本社)が実行
組織レベルの権限設定なので、トップが許可を出す
📊 実行タイミング
最初に1回だけ
AWS Config を Organizations 全体で使い始める時
🏬 例え
「監査部門は全部署に立ち入り調査OK」という会社全体のルール設定

👔 Delegated Administrator
(委任管理者)

👨‍💼 責任者の任命
特定のメンバーアカウントを「AWS Config の管理担当者」として正式に指名すること
🎯 目的
管理アカウントの負担を減らし、専門チームに監査業務を任せる
⚙️ 実行者
管理アカウント(本社)が任命
「あなたを監査部長に任命します」と宣言
📊 実行タイミング
Trusted Access 有効化の後
権限が付与された後に、担当者を決める
🏬 例え
「田中さんを監査部長に任命。全部署の監査を任せます」という人事発令

📋 セットアップの流れ:4つのステップ

1️⃣
STEP 1
組織の作成
🏢 企業グループを設立

AWS Organizations で複数のアカウントを1つの組織にまとめる。

例え: 各部署を統括する会社組織を作る
# 管理アカウントで実行
aws organizations create-organization
2️⃣
STEP 2
Trusted Access を有効化
🤝 監査部門に全社アクセス許可を出す

AWS Config が Organization 内のすべてのアカウントにアクセスできるよう許可。

例え: 「監査部は全部署に立ち入りOK」という社内規定を作る
# 管理アカウントで実行
aws organizations enable-aws-service-access \
--service-principal config.amazonaws.com
3️⃣
STEP 3
委任管理者を登録
👔 専任の監査部長を任命

特定のメンバーアカウントを「AWS Config の管理担当」として正式に指名。

例え: 「セキュリティ部の田中さんを監査部長に任命」
# 管理アカウントで実行
aws organizations register-delegated-administrator \
--account-id 123456789012 \
--service-principal config.amazonaws.com
4️⃣
STEP 4
組織全体の Config 設定
✅ 監査システムを全社に展開

委任管理者アカウントから、Organization 全体に対して AWS Config の設定を一括適用。

例え: 監査部長が全部署に監査ルールを配布・適用
# 委任管理者アカウントで実行
aws configservice put-organization-config-rule \
--organization-config-rule-name my-org-rule \
--organization-managed-rule-metadata ...

🏗️ 組織構造とアクセス権限の図解

📊 アクセスフロー

1️⃣ 管理アカウント(本社)
└─ Trusted Access を有効化
└─ 委任管理者を任命

2️⃣ 委任管理者(監査部長)
└─ Organization 全体の Config ルールを設定
└─ すべてのメンバーアカウントを監視

3️⃣ メンバーアカウント(各部署)
└─ Config ルールが自動的に適用される
└─ コンプライアンス状態が監視される

✨ この仕組みのメリット

🎯

一元管理

1つのアカウント(委任管理者)から全アカウントの設定を管理。

例: 100個の部署に同じルールを一度に適用できる
🛡️

管理アカウントの保護

最重要な管理アカウントで日常業務を行わなくて済む。

例: CEOは戦略に集中、実務は部長に任せる

効率化

各アカウントで個別に設定する必要がない。

例: 新しい部署ができても自動で監査対象に
📊

統一されたレポート

全アカウントのコンプライアンス状況を1箇所で確認。

例: 全社の監査結果を1つのダッシュボードで閲覧
🔒

セキュリティ強化

すべてのアカウントに一貫したセキュリティルールを適用。

例: 「全部署でパスワード管理は厳格に」を徹底
🚀

自動化

新しいアカウントが追加されても自動で監視対象に。

例: 新規部署設立時も手動設定不要
⚠️ 重要な注意点
1. 実行順序が重要:
必ず「Trusted Access 有効化」→「委任管理者登録」の順番で実行。逆はできません!

2. 管理アカウントでの実行:
Trusted Access と委任管理者の登録は、必ず管理アカウント(本社)で実行する必要があります。

3. 委任管理者は1つだけ:
AWS Config の委任管理者は、1つの組織で1アカウントのみ指定可能。

4. 削除の順序:
解除する場合は逆順で。「委任管理者解除」→「Trusted Access 無効化」
💡 ベストプラクティス
1. 専用アカウントを使用:
委任管理者には、セキュリティ専用の独立したアカウントを使用するのがベスト。

2. 最小権限の原則:
委任管理者にも必要最小限の権限のみを付与。

3. CloudTrail でログ記録:
すべての設定変更を CloudTrail で記録し、監査証跡を残す。

4. 段階的な展開:
まず小規模なOU(組織単位)でテストしてから、全体に展開。

5. 定期的なレビュー:
Config ルールとコンプライアンス状況を定期的に見直す。

🎓 まとめ

🏢 企業の監査システム = AWS Config × Organizations

Trusted Access(信頼されたアクセス)
= 監査部門への全社アクセス許可
「全部署に立ち入りOK」という会社の規定

委任管理者(Delegated Administrator)
= 専任の監査部長を任命
「田中さんを監査部長に任命」という人事発令

この2つを組み合わせることで、
効率的で安全な組織全体の監査体制 を構築できます✨

🤝
Trusted Access

組織レベルの
権限設定
(最初に1回)
👔
委任管理者

実務担当者の
任命
(Trusted Access の後)

🎯 セットアップの流れ

1️⃣ Organizations 作成
2️⃣ Trusted Access 有効化
3️⃣ 委任管理者登録
4️⃣ Config ルール一括設定

この順序を守れば、
安全で効率的な監査システム が完成!🎉

Created by SSuzuki1063

AWS SAP Learning Resources