Q&A
プロフェッショナル資格級の質問ですね。Claude 3,7 Sonnetで回答を得られましたが正しいかわかりません。回答は以下の通り。
AWS Organizationsのメンバーアカウントのイベントを管理アカウントで一元的に処理するには、EventBridge Cross-Account Event Deliveryを設定する必要があります。
実現したいこと
組織アカウントを利用しています。
IAMユーザーが作成されたときにEventBridgeが発火し、lambdaが実行され、チャットワークのボット用アカウントが通知をしてくれる仕組みを構築したいです。
発生している問題・分からないこと
管理アカウントにてCloudTrailの証跡を作成し、組織の証跡を「はい」にしています。
管理アカウントのバージニア北部でEventBridgeを作成し、イベントパターンは下記になっています。
(メインリージョンは東京です)
{ "source": ["aws.iam"], "detail-type": ["AWS API Call via CloudTrail"], "detail": { "eventSource": ["iam.amazonaws.com"], "eventName": ["CreateUser", "DeleteUser", "AttachUserPolicy", "DetachUserPolicy"] } }
lambdaはすでに作成済みです。こちらもバージニア北部で作成してあります。
管理アカウントのIAMユーザーを作成したときは期待通りの通知がきましたが、他メンバーアカウントでIAMを作成したときには通知がきませんでした。
おそらくEventBridgeが発火していません。
それぞれのメンバーアカウントで同じ仕組みを構築してチャットワークの通知先を同一にすればできますが、管理アカウントで一元化できないものでしょうか?
該当のソースコード
特になし
試したこと・調べたこと
- teratailやGoogle等で検索した
- ソースコードを自分なりに変更した
- 知人に聞いた
- その他
上記の詳細・結果
ChatGPTやGrok3に聞いてみましたが、良い回答が得られませんでした
補足
特になし
なるほど
ということはlambdaやSecrets Managerは管理アカウント一つで構築できますが、EventBridgeに関しては各メンバーアカウントでルールを作成する必要がありそうですね
AWSもですしエンジニア初心者なもので、なかなか解決策が見つからなかったのですがすごくヒントになり勉強になりました!
ありがとうございます!!!
かなり高度な質問となりますのでAWS歴5年で各種資格持ちの私でもわかりませんでした。
後から見た方に説明しておきますが、AIからは対策は3つあるらしく、EventBridge Cross-Account Event Deliveryを使う方法、yamatoureの仰られた各メンバーアカウントでルールを作成する方法、SSMを使う方法が提示されました。できることなら、サポートに聞くか、実際に構築してみて確認するしかないと思います。
AWS歴と資格持ちを強調するならのっけからAIに頼らずに既存情報とソースを提供して方法を提案してあげてはいかがでしょうか。
クロスアカウントでの設定についてはそれを実務で見聞きしてないとイメージしづらいのはそうかもしれませんが。
高度と言いますが、確かに複雑ではあるものの方法は提供されているのでこういった情報は慣れている人ならばすぐにアクセス可能なものですし、特にクロスアカウント周りについてはソリューションアーキテクトの試験で頻出なので、何らかの方法が既にあるはず、と思い当たるかと。
例えば公式ドキュメントだけでも以下のページがすぐに出てきます
https://docs.aws.amazon.com/ja_jp/eventbridge/latest/userguide/eb-service-cross-account.html
https://docs.aws.amazon.com/ja_jp/eventbridge/latest/userguide/eb-cross-account.html
慣れていない人にとってはこれらの情報を取捨選択して適用のが難しいと思うので、そこの部分がソリューションアーキテクトの存在価値ではないかと考えますが、提供された情報を検証も整理も妥当性の保証もしないのであれば何のためのソリューションアーキテクトでしょうか、と思ってしまいます。
まあ、無料の質問サイトなのでそこまで考えなくても…と思っちゃうかもしれませんけどね。
もう退会しちゃってますけど、某所で↑の内容をもって先に回答したと言っててガッカリしました。
あまりにも投げやりな内容な上、コメントに書いてるだけでそもそも正式に回答してないから自分が回答したんですがね…。(これで経験◯年とか資格持ちとかを強調されると、申し訳ないですがむしろ恥ずかしいです。)
さすがにそこまでは想像できないですが、万が一お客さんにこれをやってるんだとしたら非常に危ういのでもう少し言動を見直されることをおすすめいたします。
すみませんでした。。。
いえ、書き方がややこしくて申し訳ないですが質問者さんに対してのことではないのでどうかお気になさらず…
回答1件
0
ベストアンサー
基本的になにか設定をするとき、特別に設定をしなければアカウント内に閉じた設定となります。
クロスアカウントで何かをする場合は基本的に何かしらそのための設定が必要と考えてください。
今回でいうと、以下がやりたいことに近いのではないでしょうか。
管理アカウントのイベントバスに各アカウントのイベントを集約し、管理アカウントでのイベント駆動で通知を行うということをしています
ここでは入力トランスフォーマーを使ってLambdaを使わずにやっていますが、大まかな流れは同じだと思います
[Organizations]マルチアカウントのイベントを集約してChatbotもLambdaも使わずにEventBridgeの入力トランスフォーマーでSlackに通知する
※追記
これは先日のアップデートで、直接他アカウントのリソースを子アカウントのEventBridgeから呼び出す、ということができるようになる前の方法です
[アップデート]Amazon EventBridgeで別のアカウントのリソースに直接イベントを配信できるようになりました!
ただ、今回のようにそもそも管理用のアカウントにイベントを集約したいとなるとこのやり方が良いのかは何ともですね。設定自体はシンプルになるでしょうけれど。
いずれの方法を取るにしろ、同じ設定を複数のアカウントに入れることになるので、CloudFormation・CDK・Terraformなどでコード化しておくか、cliでコマンドで流せるようにしておくと展開が楽になるでしょう
投稿2025/03/07 06:44
編集2025/03/07 06:50総合スコア7619
あなたの回答
tips
プレビュー
