ARC でのクロスアカウント認証の作成

リソースを複数の AWS アカウントに分散させると、アプリケーションの状態を包括的に把握することが困難になる場合があります。また、迅速な意思決定に必要な情報を取得することも難しくなる可能性があります。Amazon Application Recovery Controller (ARC) での準備状況チェックでこれを効率化するために、クロスアカウント認証を使用できます。

ARC のクロスアカウント認証は、準備状況チェック機能と連携します。クロスアカウント認可では、中央にある 1 つの AWS アカウントを使用して、複数の AWS アカウントにあるリソースをモニタリングできます。モニタリングするリソースがある各アカウントで、中央のアカウントに、それらのリソースへのアクセスを許可します。それにより、中央のアカウントで、すべてのアカウントのリソースに対する準備状況チェックを作成し、中央のアカウントからフェイルオーバーの準備状況をモニタリングできるようになります。

あるアプリケーションに、米国西部 (オレゴン) リージョンにリソースを有するアカウント (us-west-2) があり、さらに、モニタリングするリソースを米国東部 (バージニア北部) リージョンに有するアカウント (us-east-1) もあるとします。ARC は、クロスアカウント認証を使用することにより、1 つのアカウント us-west-2 から両方のリソースセットをモニタリングするためのアクセスを許可できます。

たとえば、次の AWS アカウントがあるとします。

us-east-1 アカウント (111111111111) では、us-west-2 IAM アカウントの (ルート) ユーザーの Amazon リソースネーム (ARN)arn:aws:iam::999999999999:rootを指定することで、us-west-2 アカウント (999999999999) によるアクセスを許可するクロスアカウント認可を有効にできます。認可を作成すると、us-west-2 アカウントは、us-east-1 が所有するリソースをリソースセットに追加し、そのリソースセットで実行する準備状況チェックを作成できます。

次の例は、1 つのアカウントにクロスアカウント認可を設定する方法を示したものです。ARC で追加およびモニタリングする AWS リソースを持つ追加のアカウントごとに、クロスアカウント認可を有効にする必要があります。

以下の AWS CLI コマンドは、こちらの例でクロスアカウント認可を設定する方法を示しています。

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				create-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

この認可を無効にするには、次の手順を実行します。

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				delete-cross-account-authorization --cross-account-authorization arn:aws:iam::999999999999:root

クロスアカウント認証を指定したすべてのアカウントで、特定のアカウントにチェックインするには、list-cross-account-authorizations コマンドを使用します。現時点では、反対方向にチェックインできません。つまり、リソースを追加およびモニタリングするためのクロスアカウント認可が付与されている、アカウントすべてを一覧表示するためのアカウントプロファイルで使用できる API オペレーションはありません。

aws route53-recovery-readiness --region us-west-2 --profile profile-in-us-east-1-account \
				list-cross-account-authorizations

{
    "CrossAccountAuthorizations": [
        "arn:aws:iam::999999999999:root"
    ]
}