以下の記事が少し前に話題になっていましたね。
- 該当記事
「退職した人から管理者アカウント引き継げなかった、どうしよう……」 AWS公式Q&Aのよくある質問が地獄すぎる
- awsの公式ドキュメント
AWS アカウントの管理者が退職しました。この AWS アカウントにアクセスする方法を教えてください。
重要: AWS Support は、いかなる理由でもアカウントのルートユーザーまたは IAM 認証情報を変更することはできません。
awsドキュメントより引用
ルートユーザーの情報は一人で管理するのはリスクでしかないので、特定以上の責任を持った複数の人物で管理した方がいいですよね。
1PassWordやKEEPERのツールで管理/共有が一番簡易的な対策だと思いますが、よりベストだと思う方法を以下に記載します。
「一人に管理者を押し付けていた組織が悪いよね。」で終わりですが、なかなか難しい問題ですね。
ベストだと思う対策
AWS請求代行サービスを利用するのが一番良いと思います。
事由は後述しますが、自社でRoot情報を管理する必要がなくなります。
- 有名どころ
クラスメソッド:AWS請求代行
cloudpack:AWS請求代行サービス
SunnyCloud:SunnyPay
NHNテコラス:AWS請求代行サービス
企業でないと請求代行系のサービスは利用できません。
クラスメソッド社のケースで利点等を解説します。
- メリット
・ルートユーザーはクラスメソッドの管理となる。
Administrator権限が利用できるので運用で困るシーンもほとんどありません。
もし、Rootしか対処できないやらかしをしてしまってもサポートに連絡すれば対応してくれます。
・利用料金が割引される。
プランにもよりますが、特定サービスが50%OFF以上のプライスで利用できる。
・最低限必要なセキュリティ設定を施して、アカウントを提供してくれる。
新規でアカウントを作成するときには、CloudTrail等の設定が割と面倒ですが、デフォルトで設定して提供してくれます。
・サポートも契約内に含まれ、クラスメソッドが回答できない場合awsにエスカレーションしてくれる。
クラスメソッドのサポート品質はとても高いです。
根本仕様等に関連する事項以外は割とサクッと回答してくれます。
・請求が円建てかつ、請求書を発行してくれる。
経理部門に支払い情報を連携する際の手間がかなり減ります。
ポイント
料金のディスカウントがされる反面、無料枠がなくなります。
ですが、awsサポート費用が浮くのでお得になっていると思います。
- サポート形態の注意点
サポートは専用ポータルからのテキストベースでの問い合わせとなります。
☆awsサポートのようにチャットや電話は、基本非対応。
- デメリット
・オペレーションミス等の影響を受ける。
直近でオペミスにより、以下インシデントを起こしておりました。
2023年12月5日に発生した複数AWSアカウントが操作不能となった障害について
保険に自動加入するので、損害があっても補填はされるはず。。。です。
・Organizationsが利用できない。
・セミナー招待や、研修サービスの営業電話等が来てやや面倒。
最後に
「自社で責任が発生しそうな部分を他社に委ねる。」という少し後ろ向きな対策ではありますが、最適解だと思っています。
ほとんどメリットしかないのですが、上述したような予想外の処から殴られて、利用者はなにもできない状態になるというのが最大のリスクだと思います。
上記を飲めるかという部分が焦点になりますが、そこまで頻発するような事項ではないし、保険もあるので飲んでもいい部分かとは思います。
以上、この記事がどなたかの役に立てば幸いです。