"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
# Terraform を使用して AWS アクセス許可セットを動的に管理する
*Amazon Web Services、Vinicius Elias および Marcos Vinicius Pinto Jordao*
## 概要
AWS IAM アイデンティティセンター は、 AWS アカウント およびクラウドアプリケーションへのシングルサインオンアクセスを管理するための一元化されたハブを提供することで AWS Identity and Access Management (IAM) を強化します。ただし、組織の拡大に伴って、IAM アイデンティティセンターの[許可セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)を手動で管理することはますます複雑になり、エラーが発生しやすくなる可能性があります。この複雑さにより、潜在的なセキュリティギャップや管理オーバーヘッドにつながる可能性があります。
このソリューションを使用すると、ネイティブ AWS のサービスで構築された継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプラインを使用して、Infrastructure as Code (IaC) を通じて許可セットを管理できます。これにより、アクセス許可セットの割り当てメカニズムを AWS Control Tower ライフサイクルイベントまたは [Account Factory for Terraform (AFT) ](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html)環境とシームレスに統合できます。このアプローチでは、新規と既存の ID の両方に動的な ID 設定を提供します AWS アカウント。
Amazon EventBridge ルールは AWS アカウント 作成と更新をモニタリングし、ID 設定を組織構造と同期させるのに役立ちます。または AFT でアカウントを作成 AWS Control Tower または更新すると、パイプラインがトリガーされます。許可セットの定義と割り当てルールを含む一連の JSON ファイルを評価します。次に、パイプラインはすべてのアカウントに設定を適用し、同期します。
このアプローチには以下の利点があります。
+ **整合性** — AWS 組織全体の手動設定ドリフトを排除
+ **監査性** – すべての ID 管理の変更の完全な履歴を維持します
+ **スケーラビリティ** – AWS 環境の拡大に応じて設定を自動的に適用します。
+ **セキュリティ** – アクセス許可の割り当てにおける人為的ミスを削減します
+ **コンプライアンス** – 文書化された変更と割り当てルールを通じて、規制要件の遵守を促進します
## 前提条件と制限事項
+ AWS Control Tower と AWS Organizations がセットアップされたマルチアカウント環境。必要に応じて、 で AFT を使用できます AWS Control Tower。
+ ソリューションを受け取る AWS アカウント IAM アイデンティティセンターの委任管理者。詳細については、IAM アイデンティティセンタードキュメントの「[委任管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html)」を参照してください。
+ メインコードを処理するバージョン管理システム (VCS) リポジトリ。サンプルについては、ソリューションの GitHub [リポジトリ](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic)を参照してください。
+ Amazon Simple Storage Service (Amazon S3) バケットや Amazon DynamoDB テーブルなど、Terraform バックエンド管理に必要な AWS リソース。
**制限事項**
+ パイプラインは AWS ネイティブリソースとオープンソースの Terraform を使用します。パイプラインは、サードパーティーのエコシステムへの呼び出しを行う準備ができていません。
+ 一部の AWS のサービス は では使用できません AWS リージョン。利用可能なリージョンについては、「[AWS サービス (リージョン別)](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。特定のエンドポイントについては、「[サービスエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)」を参照して、サービスのリンクを選択してください。
## アーキテクチャ
次の図は、このパターンのコンポーネントとワークフローを示しています。
![\[Terraform を使用して AWS 許可セットを管理するためのコンポーネントとワークフロー。\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/69dc79c7-b4cd-4ad0-b0d2-d58cf0c7adaa/images/649e299c-1142-405a-8982-4a6b2e595d53.png)
**AWS Control Tower イベントフロー**
このソリューションは、 AWS Control Tower または AFT からのイベントの統合から始まります。どのサービスを選択するかは、変数定義を通じて実装時に決まります。使用される方法に関係なく、アカウントが作成または更新されるたびにパイプラインがトリガーされます。パイプラインは、許可セット管理リポジトリに保存されているポリシーを調整します。
AWS Control Tower ライフサイクルイベントは次のとおりです。
+ `CreateManagedAccount` – 新しいアカウントが作成された場合
+ `UpdateManagedAccount` – 既存のアカウントが更新された場合
**イベントルーティング**
EventBridge は中央イベント処理サービスとして機能し、 AWS Control Tower アカウントで生成されたイベントをキャプチャします。イベントが発生すると、EventBridge はそれらをソリューションアカウントの一元化されたイベントバスにインテリジェントにルーティングします。 AWS Control Tower ライフサイクルイベントは、個別のルーティングパターンに従います。AFT がイベントソースとして定義されている場合、AFT 管理アカウントは AWS Control Tower アカウントではなくイベントを処理します。このイベント駆動型アーキテクチャにより、手動による介入なしに組織の変更に自動的に対応できるようになります。
**AFT 統合プロセス**
AWS Control Tower ライフサイクルイベントが AFT 管理アカウントに到達すると、AFT に組み込まれている複数のダウンストリームプロセスが自動的にトリガーされます。AFT アカウントカスタマイズワークフローが完了すると、専用の `aft-notifications` Amazon Simple Notification Service (Amazon SNS) トピックにメッセージが発行されます。このトピックは、このソリューションで実装されている `aft-new-account-forward-event` AWS Lambda 関数をトリガーします。Lambda 関数は、パイプラインの開始に使用される、ソリューションアカウントイベントバスにイベントを送信します。
**Infrastructure as Code パイプライン**
ソリューションパイプラインは、完全に自動化されたデプロイメカニズムとして動作します。 AWS CodePipeline サービスはリポジトリの変更を継続的にモニタリングします。新しいコミットを検出すると、デプロイワークフローが自動的に開始され、検証フェーズと実行フェーズを含むシーケンシャル処理が開始されます。システムは Terraform `plan`オペレーションを実行して提案された変更を特定し、次に Terraform `apply` コマンドを実行してそれらの変更を AWS 環境に実装します。注目すべきは、パイプラインが手動承認ゲートなしで実行実行されることです。このアプローチにより、パイプラインログと Terraform 状態ファイルを通じて監査性を維持しながら、インフラストラクチャの変更を迅速にデプロイできるようになります。
パイプラインは を活用して AWS CodeBuild 、適切なアクセス許可を持つ制御された環境で Terraform オペレーションを実行します。この IaC アプローチにより、パイプラインは次のような包括的なアクセス許可管理オペレーションを実行できます。
+ 新しい許可セットを作成します。
+ 既存の許可セットを更新します。
+ 不要な許可セットを削除します。
+ AWS 組織内のアカウントとグループ間でこれらのアクセス許可の割り当てを管理します。
インフラストラクチャの一貫性を維持し、競合する変更を防ぐために、このソリューションでは、Amazon S3 バケットと専用の Amazon DynamoDB テーブルを使用して Terraform バックエンド状態管理システムを実装します。このアプローチは、Terraform 状態ファイルの永続的なストレージの場所と状態のロックメカニズムを提供し、同じリソースに同時に変更を加えるのを防ぎます。
メインの Terraform コードは、公式 AWS `permission-sets`の Terraform モジュールを使用します。このモジュールでは、許可セットテンプレートに基づいて、IAM アイデンティティセンター内の許可セットを動的に管理できます。
**ソースコントロール管理**
許可セットテンプレート (JSON ファイル) は、ID 管理設定の一元化されたリポジトリを提供する、GitHub などの外部バージョン管理システムにあります。このアプローチにより、許可セット定義の信頼できる唯一の情報源が確立され、標準的なコードレビュー手法を通じて共同開発が可能になります。認可されたユーザーは、組織の変更管理プロセスに従って、これらのテンプレートに変更をコミットできます。これらのコミットは、自動デプロイパイプラインの主要なトリガーとして機能し、インフラストラクチャ更新プロセスを開始します。
リポジトリ内の JSON ファイルを使用して許可セットを設定する方法の例については、「[追加情報](#manage-aws-permission-sets-dynamically-by-using-terraform-additional)」を参照してください。
## ツール
**AWS のサービス**
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html) は完全マネージド型の構築サービスです。ソースコードのコンパイル、ユニットテストの実行、すぐにデプロイできるアーティファクトの生成を行います。
+ [AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html) では、CodePipeline などの AWS リソースとサービスが GitHub などの外部コードリポジトリに接続できます。
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html) は、ソフトウェアリリースのさまざまな段階を迅速にモデル化および設定し、ソフトウェアの変更を継続的にリリースするために必要なステップを自動化するのに役立ちます。
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) は、コマンドラインシェルのコマンド AWS のサービス を使用して を操作するのに役立つオープンソースツールです。
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境のセットアップと管理に役立ちます。
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) は、フルマネージド NoSQL データベースサービスです。高速かつ予測可能でスケーラブルなパフォーマンスを提供します。
+ 「[Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)」 は、アプリケーションをさまざまなソースのデータに接続するために支援するサーバーレスイベントバスサービスです。例えば、 AWS Lambda 関数、API 送信先を使用する HTTP 呼び出しエンドポイント、その他のイベントバスなどです AWS アカウント。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) は、誰を認証し、誰に使用を認可するかを制御することで、 AWS リソースへのアクセスを安全に管理できます。
+ [AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) を使用すると、すべての AWS アカウント およびクラウドアプリケーションへのシングルサインオン (SSO) アクセスを一元管理できます。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立つアカウント管理サービスです。
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) は、ウェブサーバーやメールアドレスなど、パブリッシャーとクライアント間のメッセージの交換を調整および管理するのに役立ちます。アカウント管理イベントのプッシュ通知を有効にし、システム内の重要な変更やアクションが関係者に確実に通知されるようにします。
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。
**その他のツール**
+ 「[Terraform](https://www.terraform.io/)」は、HashiCorp の infrastructure as code (IaC) ツールで、クラウドとオンプレミスのリソースの作成と管理を支援します。
**コードリポジトリ**
このパターンのコードは、 AWS sample-terraform-aws-permission-sets-pipeline リポジトリの GitHub の Samples 組織で入手できます。 [sample-terraform-aws-permission-sets-pipeline ](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline)
## ベストプラクティス
+ 本番稼働でコードを実行するために使用される Terraform モジュールとプロバイダーのバージョンを常に固定します。
+ [Checkov](https://www.checkov.io/) などの静的コード分析ツールを使用して、コードをスキャンし、セキュリティの問題を解決します。
+ 最小特権の原則に従い、タスク実行に必要最小限の権限を付与します。詳細については、IAM ドキュメントの「[最小限の特権を認める。](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv)」と「[IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
## エピック
### 前提条件を作成する (オプション)
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| Terraform バックエンドリソースを作成します。 | Terraform バックエンド AWS リソースをまだ作成していない場合は、次の手順を使用して Amazon S3 バケット (`s3-tf-backend-{ACCOUNT_ID}`) と DynamoDB テーブル () を作成します`ddb-tf-backend`。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws s3api create-bucket --bucket s3-tf-backend-{ACCOUNT_ID}
aws s3api put-bucket-versioning --bucket s3-tf-backend-{ACCOUNT_ID} --versioning-configuration Status=Enabled
aws dynamodb create-table --table-name ddb-tf-backend --attribute-definitions AttributeName=LockID,AttributeType=S --key-schema AttributeName=LockID,KeyType=HASH --provisioned-throughput ReadCapacityUnits=1,WriteCapacityUnits=1 | AWS 管理者 |
| クロスアカウントロールを作成します。 | Terraform AWS プロバイダー設定でクロスアカウント IAM `event-source-account` ロールを指定する必要があります。このロールをまだ作成していない場合は、次のステップを使用して作成します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam create-role \
--role-name CrossAccountRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:root"
},
"Action": "sts:AssumeRole"
}
]
}'
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam attach-role-policy \
--role-name CrossAccountRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
この例では、 AWS マネージド IAM ポリシー [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) を使用します。必要に応じて、より具体的なポリシーを使用することもできます。 | AWS 管理者 |
### 許可セットリポジトリを準備する
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| 専用リポジトリを作成します。 | このタスクでは、GitHub を使用していることを前提としています。メインの Terraform コードと許可セットテンプレート JSON ファイルを保存するための専用リポジトリを作成します。 | DevOps エンジニア |
| 許可セットコードを準備します。 | 次のファイルをどのように構造化できるかの詳細については、ソリューションリポジトリの[サンプルコード](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic)を参照してください。├── main.tf├── outputs.tf├── providers.jinja└── templates内容をコピーし、`providers.jinja` 値を保持して、他のファイルに必要な調整を加えます。例えば、許可セットテンプレートファイルを `templates` に追加したり、`main.tf` ファイル内の `aws-ia/permission-sets/aws` モジュールバージョンを固定したりします。 | DevOps エンジニア |
| 変更をコミットします。 | 先ほど作成したリポジトリに変更をコミットしてプッシュします。リポジトリ名とその GitHub 組織 (例: `myorg/aws-ps-pipeline`) を保存します。 | DevOps エンジニア |
### デプロイコードを準備する
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| コンテンツをダウンロードします。 | ソリューション[リポジトリ](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline)からコンテンツをダウンロード (クローン) します。 | DevOps エンジニア |
| 変数を処理します。 | `terraform.tfvars` ファイルを作成し、次の必要な変数を追加します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)repository_name = "myorg/aws-ps-pipeline"
branch_name = "main"
vcs_provider = "github"
account_lifecycle_events_source = "CT"
追加の変数オプションの詳細については、このパターンの GitHub リポジトリにある [variables.tf](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/blob/main/variables.tf) ファイルを参照してください。 | DevOps エンジニア |
| Terraform バックエンド設定を調整します。 | `backend.tf` ファイル内のプレースホルダーを独自の値に置き換えます。 AWS Control Tower ホームを使用し AWS リージョン、以前に作成した Amazon S3 バケットと DynamoDB テーブルの名前を指定します。terraform {
required_version = ">=1.6"
backend "s3" {
region = "{region}"
bucket = "{bucket_name}"
key = "terraform.tfstate"
dynamodb_table = "{table_name}"
encrypt = "true"
}
}必要に応じて、独自の Terraform バックエンド設定を使用することもできます。 | DevOps エンジニア |
| Terraform プロバイダー設定を調整します。 | `providers.tf` ファイル内のプレースホルダーを独自の情報に置き換えます。 AWS Control Tower ホームリージョンを使用して、以前に作成した`event-source-account`プロバイダーのクロスアカウント IAM ロールの ARN を指定します。provider "aws" {
region = "{region}"
}
provider "aws" {
alias = "event-source-account"
region = "{region}"
assume_role {
role_arn = "{role_arn}"
}
}
| DevOps エンジニア |
### ソリューションを手動でデプロイする
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| を選択します AWS アカウント。 | IAM アイデンティティセンターの委任管理者アカウントにソリューションをデプロイすることをお勧めします。ただし、 AWS Organizations 管理アカウントにデプロイすることもできます。IAM アイデンティティセンターインスタンスと同じリージョンで、選択したアカウントにサインインするには、 AWS CLIを使用します。使用している IAM ロールに、前のステップで `event-source-account` プロバイダーに指定されたロールを引き受けるアクセス許可があることを確認します。また、このロールは Terraform バックエンド設定で使用される AWS リソースにアクセスできる必要があります。 | AWS 管理者 |
| Terraform を手動で実行します。 | 設定を初期化、計画、適用するには、次の Terraform コマンドを示されている順序で実行します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) | DevOps エンジニア |
| デプロイの結果を確認します。 | IAM アイデンティティセンターの委任管理者アカウントで、`aws-ps-pipeline` パイプラインが作成されていることをチェックします。また、**保留中**のステータス AWS CodeConnections の接続があることを確認します。 | AWS DevOps |
| CodeConnections 設定を完了します。 | CodeConnections 設定を完了するには、次のステップを実行します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)これで、パイプラインは許可セットリポジトリにアクセスできるようになります。詳細な手順については、デベロッパーツールコンソールのドキュメントの「[保留中の接続の更新](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html)」を参照してください。 | AWS DevOps |
### ソリューションをテストするパイプライン実行フローを選択する
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| パイプラインを AWS Control Tower または AFT 更新で実行します。 | AWS Control Tower または AFT を使用してアカウントを作成または変更すると (選択したライフサイクルイベントのタイプに応じて)、パイプラインが開始されます。 | AWS 管理者 |
| コードを変更してパイプラインを実行します。 | コードを変更して `main` ブランチにコミットすると、パイプラインが開始されます。 | AWS DevOps |
| パイプラインを手動で実行します。 | パイプラインを手動で開始するには、 の[リリース変更](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-rerun-manually.html)機能を使用します AWS CodePipeline。 | AWS DevOps |
## トラブルシューティング
| 問題 | ソリューション |
| --- | --- |
| アクセスが拒否されました | ソリューションをデプロイするために必要なアクセス許可があることを確認します。 |
| CodeConnections の問題 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| パイプライン実行の問題 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| 許可セットのデプロイの問題 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
## 関連リソース
**AWS のサービス ドキュメント**
+ [AWS IAM アイデンティティセンター ユーザーガイド](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ アクセス[許可セット AWS アカウント を使用して を管理する](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) (IAM Identity Center ドキュメント)
**その他のリソース**
+ アクセス[AWS 許可セットモジュール](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest) (Terraform)
## 追加情報
**サンプル許可セットを含む JSON ファイル**
次の例は、リポジトリ内の JSON ファイルを使用して許可セットを設定する方法を示しています。
```
{
"Name": "ps-billing", // Permission set identifier
"Comment": "Sample permission set for billing access", // Comment to document the purpose of the permission set
"Description": "Billing access in AWS", // Detailed description
"SessionDuration": "PT4H", // Session duration = 4 hours (ISO 8601 format)
"ManagedPolicies": [ // List of AWS IAM managed policies
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/job-function/SupportUser",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess"
],
"CustomerPolicies": [], // References to IAM policies previously created
"CustomPolicy": {}, // Inline IAM policy defined directly in the permission set
"PermissionBoundary": { // AWS or customer managed IAM policy to be used as boundary
"ManagedPolicy": "",
"CustomerPolicy": ""
},
"Assignments": [ // Define the assignment rules
{
"all_accounts": true, // Apply to ALL active AWS accounts in organization
"principal": "G_BILLING_USERS", // Group/user name in Identity Center
"type": "GROUP", // Can be "GROUP" or "USER"
"account_id": [], // List of AWS account ID (empty since all_accounts=true)
"account_ou": [], // List of AWS Organizational Unit IDs with target AWS accounts
"account_tag": [] // List of tags (key:value) to match AWS Organization accounts tags
}
]
}
```
詳細については、Terraform ウェブサイトで「[AWS Permission Sets module](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest#json-file-templates)」ドキュメントの JSON スキーマを参照してください。
**ヒント**
+ Terraform [インポートブロック](https://developer.hashicorp.com/terraform/language/import)を使用して、既存の許可セットをソリューションにインポートできます。
+ AFT を使用して、委任アカウントに AWS 権限セットパイプラインを実装できます。詳細については、「[AFT Blueprints](https://awslabs.github.io/aft-blueprints/index.html)」を参照してください。
# AWS Organizations を使用して Transit Gateway アタッチメントに自動的にタグを付ける
*Amazon Web Services、Richard Milner-Watts、Haris Bin Ayub、John Capps*
## 概要
アマゾン ウェブ サービス (AWS) では[AWS Resource Access Manager](https://aws.amazon.com/ram/)、 を使用して AWS アカウント 境界[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)を越えて共有できます。ただし、アカウントの境界を越えて Transit Gateway アタッチメントを作成すると、アタッチメントは名前タグなしで作成されます。そのため、アタッチメントの識別に時間がかかることがあります。
このソリューションは、[AWS Organizations](https://aws.amazon.com/organizations/) によって管理されている組織内のアカウントについて、各 Transit Gateway アタッチメントに関する情報を収集する自動メカニズムを提供します。このプロセスには、Transit Gateway のルートテーブルから「[Classless Inter-Domain Routing (CIDR)](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)」範囲を検索することが含まれます。次に、このソリューションでは、トランジットゲートウェイを保有するアカウント内の添付ファイルに、`-` という形式の名前タグを適用します。
このソリューションは、 ソリューションライブラリの[サーバーレストランジットネットワークオーケストレーター](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/)などの AWS ソリューションと一緒に使用できます。サーバーレストランジットネットワークオーケストレーターを使用すると、Transit Gateway ゲートウェイアタッチメントを大規模に自動的に作成できます。
## 前提条件と制限事項
**前提条件**
+ アクティブな AWS アカウント
+ すべての関連アカウントを含む AWS Organizations 組織
+ 組織のルートにある組織管理アカウントにアクセスして、必要な AWS Identity and Access Management (IAM) ロールを作成する
+ 組織と共有され、添付ファイルがある 1 つ以上のトランジットゲートウェイを含む共有ネットワーキングメンバーアカウント
## アーキテクチャ
次の のスクリーンショット AWS マネジメントコンソール は、関連付けられた Name タグがない Transit Gateway アタッチメントと、このソリューションによって生成された Name タグがある 2 つの Transit Gateway アタッチメントの例を示しています。生成された名前タグの構造は `-` です。
![\[コンソールには、名前タグのない添付ファイルと名前タグの付いた 2 つの添付ファイルが表示されます。\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/7e7d4a47-f07a-4708-8022-a1d22855bb5d.png)
このソリューションでは[AWS CloudFormation](https://aws.amazon.com/cloudformation/)、 を使用して、設定されたすべての で Transit Gateway Name タグの作成を管理する[AWS Step Functions](https://aws.amazon.com/step-functions/)ワークフローをデプロイします AWS リージョン。ワークフローは、基礎となるタスクを実行する [AWS Lambda](https://aws.amazon.com/lambda/) 関数を呼び出します。
ソリューションが からアカウント名を取得すると AWS Organizations、Step Functions ステートマシンはすべての Transit Gateway アタッチメント IDsを取得します。これらはリージョンごとに並行処理されます。この処理には、各添付ファイルの CIDR 範囲の検索が含まれます。CIDR 範囲は、リージョン内の Transit Gateway ルートテーブルで一致するTransit Gateway アタッチメント ID を検索することで取得されます。必要な情報がすべて揃うと、ソリューションは添付ファイルに名前タグを適用します。ソリューションは既存の名前タグを上書きしません。
このソリューションは、「[Amazon EventBridge](https://aws.amazon.com/eventbridge/)」イベントによって制御されるスケジュールで実行されます。このイベントは、毎日午前 6 時 (UTC) にソリューションを開始します。
**ターゲットテクノロジースタック**
+ Amazon EventBridge
+ AWS Lambda
+ AWS Organizations
+ AWS Transit Gateway
+ Amazon Virtual Private Cloud (Amazon VPC)
+ AWS X-Ray
ターゲット アーキテクチャ
ソリューションのアーキテクチャとワークフローを次の図表に示しています。
![\[共有ネットワークアカウントと組織管理アカウントにわたる 9 ステップのプロセス。\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/873cc89f-c6e3-43cd-94ed-59b6ea2b8d49.png)
1. スケジュールされたイベントによってルールが開始されます。
1. EventBridge ルールは Step Functions ステートマシンを起動します。
1. ステートマシンは `tgw-tagger-organizations-account-query` Lambda 関数を呼び出します。
1. `tgw-tagger-organizations-account-query` Lambda 関数は組織管理アカウントでの役割を引き受けます。
1. `tgw-tagger-organizations-account-query` Lambda 関数は Organizations API を呼び出して AWS アカウント メタデータを返します。
1. ステートマシンは `tgw-tagger-attachment-query` Lambda 関数を呼び出します。
1. 各リージョンについて、ステートマシンは並行に `tgw-tagger-rtb-query` Lambda 関数を呼び出して、各アタッチメントの CIDR 範囲を読み取ります。
1. 各リージョンについて、ステートマシンは並行に `tgw-tagger-attachment-tagger`** **Lambda 関数を呼び出します。
1. 名前タグは、共有ネットワークアカウントの Transit Gateway アタッチメントファイルに作成されます。
**自動化とスケール**
ソリューションは各リージョンを並行処理し、実行にかかる合計時間を短縮します。
## ツール
**AWS サービス**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) は、インフラストラクチャをコードとして扱うことで、関連リソース AWS とサードパーティーリソースのコレクションをモデル化し、迅速かつ一貫してプロビジョニングし、ライフサイクル全体で管理する方法を提供します。
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) は、AWS リソースと で実行しているアプリケーションのメトリクスを AWS リアルタイムでモニタリングするのに役立ちます。
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) は、アプリケーションをさまざまなソースからのデータに接続するために使用できるサーバーレスのイベントバスサービスです。EventBridge は、環境の変化の指標であるイベントを受信し、イベントをターゲットにルーティングするルールを適用します。ルールは、イベントパターンと呼ばれるイベントの構造、またはスケジュールのいずれかに基づいて、イベントをターゲットにマッチングさせます。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) は、サーバーのプロビジョニングや管理を行わずにコードの実行を支援できるコンピューティングサービスです。Lambda は必要に応じてコードを実行し、1 日あたり数個のリクエストから 1 秒あたり数千のリクエストまで自動的にスケールします。支払いは、使用したコンピューティング時間に対する料金のみになります。コードが実行されていないときに料金は発生しません。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) は、 AWS リソースの拡大とスケーリングに合わせて環境を一元的に管理および管理するのに役立ちます。Organizations を使用すると、プログラムで新しい を作成し、リソース AWS アカウント を割り当て、アカウントをグループ化してワークフローを整理し、ガバナンスのためにポリシーをアカウントまたはグループに適用し、すべてのアカウントに単一の支払い方法を使用して請求を簡素化できます。
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html) は、ビジネスプロセスのオーケストレーション AWS のサービス、自動化、サーバーレスアプリケーションの構築に使用されるローコードのビジュアルワークフローサービスです。ワークフローは障害、再試行、並列化、サービス統合、可観測性を管理するため、開発者はより価値の高いビジネスロジックに集中できます。
+ [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) は、中央のハブを介して VPC とオンプレミスネットワークを接続します。これにより、ネットワークが簡素化され、複雑なピアリング関係が終了します。クラウドルーターとして機能し、新しい接続は 1 回だけ行われます。
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) は、定義した論理的に分離された仮想ネットワークで AWS リソースを起動するためのサービスです。
+ [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html) は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。
**コード**
このソリューションのソースコードは、「[Transit Gateway アタッチメントタガー](https://github.com/aws-samples/tgw-attachment-tagger)」GitHub リポジトリにあります。リポジトリには以下のファイルが含まれています。
+ `tgw-attachment-tagger-main-stack.yaml` は、このソリューションをサポートするすべてのリソースを共有ネットワーキングアカウント内に作成します。
+ `tgw-attachment-tagger-organizations-stack.yaml` は、組織の管理アカウントにロールを作成します。
## エピック
### メインソリューションスタックをデプロイ
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| 必要な前提情報を収集する。 | Lambda 関数から AWS Organizations API へのクロスアカウントアクセスを設定するには、組織の管理アカウントのアカウント ID が必要です。****2 つの CloudFormation スタックが作成される順序が重要です。最初に共有ネットワークアカウントにリソースをデプロイする必要があります。リソースを組織の管理アカウントに展開する前に、共有ネットワークアカウントのロールがすでに存在している必要があります。詳細については、[AWS のドキュメント](https://docs.amazonaws.cn/en_us/IAM/latest/UserGuide/id_roles_create_for-user.html)を参照してください。 | DevOps エンジニア |
| メインソリューションスタックの CloudFormation テンプレートを起動します。 | メインソリューションスタックのテンプレートは、IAM ロール、Step Functions ワークフロー、Lambda 関数、および Amazon CloudWatch イベントをデプロイします。 AWS マネジメントコンソール 共有ネットワーキングアカウントの を開き、:&CFN コンソールを開きます。 `tgw-attachment-tagger-main-stack.yaml` テンプレートと以下の値を使用してスタックを作成します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html) CloudFormation スタックの起動の詳細については、 [AWS ドキュメント](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)を参照してください。 | DevOps エンジニア |
| ソリューションが正常に起動したことを確認します。 | CloudFormation スタックが **CREATE\$1COMPLETE** ステータスになるまで待ちます。この所要時間は 1 分以内となります。Step Functions コンソールを開き、**tgw-attachment-tagger-state-machine** という名前で新しいステートマシンが作成されていることを確認します。 | DevOps エンジニア |
### AWS Organizations スタックをデプロイ
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| 必要な前提情報を収集する。 | Lambda 関数から AWS Organizations API へのクロスアカウントアクセスを設定するには、共有ネットワーキングアカウントのアカウント ID が必要です。 | DevOps エンジニア |
| Organizations スタック用の CloudFormation テンプレートを起動します。 | AWS Organizations スタックのテンプレートは、組織の管理アカウントにIAMロールをデプロイします。 組織の管理アカウントの AWS コンソールにアクセスし、CloudFormation コンソールを開きます。 `tgw-attachment-tagger-organizations-stack.yaml` テンプレートと以下の値を使用してスタックを作成します。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)その他のスタック作成オプションには、デフォルトを使用してください。 | DevOps エンジニア |
| ソリューションが正常に起動したことを確認します。 | CloudFormation スタックのステータスが **CREATE\$1COMPLETE** になるまで待ちます。この所要時間は 1 分以内となります。 AWS Identity and Access Management (IAM) コンソールを開き、**tgw-attachment-tagger-organization-query-role** という名前の新しいロールが作成されていることを確認します。 | DevOps エンジニア |
### ソリューションを検証する
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| ステートマシンを実行します。 | 共有ネットワークアカウントの Step Functions コンソールを開き、ナビゲーションペインで **[ステートマシン]** を選択します。ステートマシン **[tgw-attachment-tagger-state-machine]** を選択し、**[実行開始]** を選択します。 このステートマシンへの入力はソリューションでは使用されないため、既定値を使用できます。{
"Comment": "Insert your JSON here"
}**[実行のスタート]** を選択します。 | DevOps エンジニア |
| ステートマシンが完了するまで監視してください。 | 開いた新しいページでは、ステートマシンの実行を確認できます。所要時間は、処理する Transit Gateway アタッチメントの数によって異なります。このページでは、ステートマシンの各ステップを確認できます。ステートマシン内のさまざまなタスクを表示したり、Lambda 関数の CloudWatch ログへのリンクをたどったりできます。マップ内で並行して実行されるタスクについては、**[インデックス]** ドロップダウンリストを使用して、各リージョンの特定の実装を表示できます。 | DevOps エンジニア |
| Transit Gateway アタッチメントタグを確認します。 | 共有ネットワークアカウントの VPC コンソールを開き、**[Transit Gateway アタッチメント]** を選択します。 コンソールでは、条件を満たす添付ファイルの名前タグが表示されます (添付ファイルは Transit Gateway のルートテーブルに伝達され、リソース所有者は組織のメンバーです)。 | DevOps エンジニア |
| CloudWatch イベントの開始を確認します。 | CloudWatch イベントが開始されるのを待ちます。これは 06:00 UTC に予定されています。 次に、共有ネットワークアカウントの Step Functions コンソールを開き、ナビゲーションペインで **[ステートマシン]** を選択します。ステートマシン **[tgw-attachment-tagger-state-machine]** を選択します。ソリューションが 06:00 UTC に実行されたことを確認します。 | DevOps エンジニア |
## 関連リソース
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [AWS Resource Access Manager](https://aws.amazon.com/ram/)
+ 「[サーバーレストランジットネットワークオーケストレーター](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/)」
+ 「[IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」
+ [AWS CloudFormation コンソールでのスタックの作成](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
# その他のパターン
**Topics**
+ [AFT AWS アカウント を使用して新しい の Amazon VPC IPAM IPv4 CIDR 割り当てを自動化する](automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.md)
+ [Account Factory for Terraform を使用して複数のアカウントのアクセス許可セットを管理する](govern-permission-sets-aft.md)
+ [GitHub Actions を使用して AWS CloudFormation テンプレートに基づいて AWS Service Catalog 製品をプロビジョニングする](provision-aws-service-catalog-products-using-github-actions.md)
+ [ロールベンディングマシンソリューションをデプロイして最小特権の IAM ロールをプロビジョニングする](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md)