クロスアカウントアクセスのセットアップ - AWS Security Hub
前提条件セットアップステップロールの設定検証トラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウントアクセスのセットアップ

委任管理者アカウントとメンバーアカウントは、クロスアカウント IAM ロールを設定することで、管理アカウントから組織全体 AWS Cost Explorer のデータにアクセスできます。この設定により、これらのアカウントは管理アカウントに切り替えることなく実際の使用状況データを表示できます。

前提条件

コスト見積りツールのクロスアカウントアクセスを設定する前に、次の項目と情報が必要です。

  • 管理アカウントは AWS Cost Explorer が有効になっている必要があります。

  • 管理アカウントにロールを作成する IAM アクセス許可。

  • クロスアカウントアクセスが付与される委任管理者またはメンバーアカウント ID の知識。

セットアップステップ

コスト見積もりツールは、コンソールで直接ガイド付きセットアップ手順を提供します。手順にアクセスするには、組織管理アカウントの https://console.aws.amazon.com/securityhub/v2/home#/costEstimator にあるコスト見積りページに移動します。クロスアカウントアクセスセクションを見つけ、クロスアカウントロールを設定する手順に従います。

ロールの設定

コスト見積もりツールのクロスアカウントアクセスには、信頼ポリシーとアクセス許可ポリシーを使用して IAM ロールを設定する必要があります。クロスアカウントロールは、次の設定で管理アカウントに作成する必要があります。

ロール名 (正確な名前が必要) – AwsSecurityHubCostEstimatorCrossAccountRole

推奨される信頼ポリシー:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

ポリシーの例で次の値を置き換えて、ポリシーを編集します。

  • {ACCOUNT_ID} を、クロスアカウントアクセスを許可する委任管理者またはメンバーアカウント ID に置き換えます。

  • {ROLE_NAME} を、アクセス権を付与する委任管理者またはメンバーアカウントの IAM ロール名に置き換えます。

推奨されるアクセス許可ポリシー:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ce:GetCostAndUsage",
            "Resource": "*"
        }
    ]
}
注記

信頼ポリシーは、特定のアカウントとロールへのアクセスを制限します。指定された IAM プリンシパルのみがこのロールを引き受けることができるため、不正アクセスを防止できます。

検証

管理アカウントでロールを作成したら、次のステップを使用してセットアップが機能していることを確認します。

  1. 委任管理者またはメンバーアカウントにサインインします。

  2. https://console.aws.amazon.com/securityhub/v2/home#/costEstimator の Security Hub コスト見積りツールに移動します。

  3. ページは自動的に次のようになります。

    1. 組織内の管理アカウントを検出します。

    2. クロスアカウントロールを引き受けます。

    3. Cost Explorer データを組織全体の使用量でロードします。

成功すると、手動入力フィールドの代わりに実際の使用状況データが表示されます。

トラブルシューティング

このセクションでは、クロスアカウントアクセスを設定するときに発生する可能性がある一般的な問題と解決策について説明します。

このアカウントでは組織の使用状況データは利用できません

このアラートは、クロスアカウントロールにアクセスできないことを示します。このアラートの原因として考えられるものは次のとおりです。

  1. ロールが存在しません: 管理アカウントがロールをまだ作成していません。

    1. 解決策: 管理アカウント管理者に連絡して、セットアップガイダンスを使用してロールを作成します。

  2. ロール名の不一致: ロール名が完全に一致しません。

    1. 解決策: ロール名が であることを確認しますAwsSecurityHubCostEstimatorCrossAccountRole

  3. 信頼ポリシーが正しくない: 信頼ポリシーでは、アカウントがロールを引き受けることが許可されません。

    1. 解決策: 信頼ポリシーにアカウント ID とロール名が含まれていることを確認します。

  4. AssumeRole アクセス許可がありません: IAM プリンシパルに がありませんsts:AssumeRole

    1. 解決策: アクセスsts:AssumeRole許可を追加するには、管理者にお問い合わせください。

詳細なセットアップ手順を表示するには: アラートの「手順を表示」リンクをクリックして、step-by-stepガイダンスとポリシーテンプレートを含むモーダルを開きます。

回避策: 編集モードで使用量値を手動で入力することで、引き続き Cost Estimator を使用できます。