組織ビュー (CLI)

AWS Health コンソールの代わりに、AWS Command Line Interface (AWS CLI) から組織ビュー機能を有効にすることもできます。コンソールを使用するには、「組織ビューの有効化 (コンソール)」を参照してください。

注記

組織ビュー機能用の管理アカウントへのアクセスをユーザーに許可するには、AWSHealthFullAccess ポリシーなどのアクセス許可が必要です。詳細については、「AWS Health アイデンティティベースポリシーの例」を参照してください。

組織ビューの有効化 (CLI)

組織ビューは、EnableHealthServiceAccessForOrganizationAPI オペレーションを使用してのみ有効にできます。

AWS Command Line Interface (AWS CLI) または独自のコードを使用して、このオペレーションを呼び出すことができます。

注記

• AWS Health API を呼び出すには、ビジネスサポートプラン、エンタープライズ On-Ramp サポートプラン、またはエンタープライズサポートプランが必要です。

• 米国東部 (バージニア北部) リージョンのエンドポイントを使用する必要があります。

次の AWS CLI コマンドは、AWS アカウントからこの機能を有効にします。このコマンドは、管理アカウントから、または必要なアクセス許可を持つロールを引き受けることができるアカウントから使用できます。

aws health enable-health-service-access-for-organization --region us-east-1

次のコード例では、EnableHealthServiceAccessForOrganizationAPI オペレーションを呼び出します。

Python

import boto3

client = boto3.client('health')

response = client.enable_health_service_access_for_organization()

print(response)

Java

次の例では、バージョン Java 2.0 用の AWS SDK を使用できます。

import software.amazon.awssdk.services.health.HealthClient;
import software.amazon.awssdk.services.health.HealthClientBuilder;
 
import software.amazon.awssdk.services.health.model.ConcurrentModificationException;
import software.amazon.awssdk.services.health.model.EnableHealthServiceAccessForOrganizationRequest;
import software.amazon.awssdk.services.health.model.EnableHealthServiceAccessForOrganizationResponse;
import software.amazon.awssdk.services.health.model.DescribeHealthServiceStatusForOrganizationRequest;
import software.amazon.awssdk.services.health.model.DescribeHealthServiceStatusForOrganizationResponse;
 
import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
 
import software.amazon.awssdk.regions.Region;
 
public class EnableHealthServiceAccessDemo {
    public static void main(String[] args) {
        HealthClient client = HealthClient.builder()
            .region(Region.US_EAST_1)
            .credentialsProvider(
                DefaultCredentialsProvider.builder().build()
            )
            .build();
 
        try {
            DescribeHealthServiceStatusForOrganizationResponse statusResponse = client.describeHealthServiceStatusForOrganization(
                DescribeHealthServiceStatusForOrganizationRequest.builder().build()
            );
 
            String status = statusResponse.healthServiceAccessStatusForOrganization();
            if ("ENABLED".equals(status)) {
                System.out.println("EnableHealthServiceAccessForOrganization already enabled!");
                return;
            }
 
            client.enableHealthServiceAccessForOrganization(
                EnableHealthServiceAccessForOrganizationRequest.builder().build()
            );
 
            System.out.println("EnableHealthServiceAccessForOrganization is in progress");
        } catch (ConcurrentModificationException cme) {
            System.out.println("EnableHealthServiceAccessForOrganization is already in progress. Wait for the action to complete before trying again.");
        } catch (Exception e) {
            System.out.println("EnableHealthServiceAccessForOrganization FAILED: " + e);
        }
    }
}

詳細については、 AWS SDK for Java 2.0 開発者ガイドを参照してください。

この機能を有効にすると、AWSServiceRoleForHealth_OrganizationsHealth_OrganizationsServiceRolePolicyAWS管理ポリシーを持つサービスにリンクされたロールが組織内の管理アカウントに適用されます。

注記

この機能の有効化は非同期プロセスであり、完了するまでに時間がかかります。DescribeHealthServiceStatusForOrganizationオペレーションを呼び出して、このプロセスのステータスを確認できます。

組織ビューイベントの表示 (CLI)

この機能を有効にした後、AWS Health は、組織内のアカウントに影響を与えるイベントの記録を開始します。アカウントが組織に参加すると、AWS Health は、自動的にそのアカウントを組織ビューに追加します。

注記

AWS Health では、組織ビューを有効にする前に組織内で発生したイベントは記録されません。

アカウントが組織から離れると、そのアカウントからの新しいイベントが組織ビューに記録されなくなります。ただし、既存のイベントは残り、90 日間の制限までそのクエリを実行できます。

AWS は、管理者アカウントの閉鎖の発効日から 90 日間にわたり、そのアカウントのポリシーデータを保持します。90 日の期間の終了時、AWS は、アカウントのすべてのポリシーデータを完全に削除します。

• 結果を 90 日を超えて保持するには、ポリシーをアーカイブします。また、 EventBridge ルールを用いてカスタムアクションを使用して、結果を S3 バケットに保存することもできます。

• AWS がポリシーデータを保持している限り、閉鎖されたアカウントを再度開くと、AWS は、アカウントをサービス管理者として再割り当てし、そのアカウントのサービスポリシーデータを回復します。

• 詳細については、「アカウントの閉鎖」を参照してください。

重要

AWS GovCloud (US) リージョンの顧客の場合

• アカウントを閉鎖する前に、ポリシーデータおよびその他のアカウントリソースをバックアップしてから、削除します。アカウントを閉鎖した後は、もうそのアカウントへのアクセス権はなくなります。

AWS Health API オペレーションを使用して、組織ビューからイベントを返すことができます。

例 : 組織ビューイベントの説明

次の AWS CLI コマンドは、組織内の AWS アカウントのヘルスイベントを返します。

aws health describe-events-for-organization --region us-east-1

その他の AWS Health API オペレーションについては、次のセクションを参照してください。

組織ビューの無効化 (CLI)

組織ビューは、DisableHealthServiceAccessForOrganizationAPI オペレーションを使用して無効にすることができます。

次の AWS CLI コマンドは、アカウントからこの機能を無効にします。

aws health disable-health-service-access-for-organization --region us-east-1

注記

また、Organizations のAWSServiceAccess DisableAPI オペレーションを使用して、組織機能を無効にすることもできます。このオペレーションを呼び出し後、AWS Health は、組織内の他のすべてのアカウントのイベントの集計を停止します。組織ビューの AWS Health API オペレーションを呼び出すと、AWS Health はエラーを返します。AWS Health は AWS アカウントのヘルスイベントを引き続き集計します。

この機能を無効にすると、AWS Health は組織からのイベントを集約しなくなります。ただし、サービスにリンクされたロールは、AWS Identity and Access Management (IAM) コンソール、IAM API、または AWS CLI から削除するまで管理アカウントに残ります。詳細については、IAM ユーザーガイドのサービスにリンクされたロールの削除を参照してください。

AWS Health 組織ビュー API オペレーション

組織ビューには、次の AWS Health API オペレーションを使用できます。

• DescribeEventsForOrganization— 組織全体のイベントに関する概要情報を返します。

• DescribeAffectedAccountsForOrganization— 指定されたイベントの影響を受けている組織内のAWSアカウントのリストを返します。

• DescribeEventDetailsForOrganization— 組織内の 1 つ以上のアカウントの指定されたイベントに関する詳細情報を返します。

• DescribeAffectedEntitiesForOrganization— 組織内の 1 つ以上のアカウントの 1 つ以上のイベントの影響を受けているエンティティのリストを返します。

次のオペレーションを使用すると、AWS Health による Organizations の操作を有効化または無効化できます。

• EnableHealthServiceAccessForOrganization— に OrganizationsAWS Health と対話するためのアクセス許可を付与し、SLR を組織内の管理アカウントに適用します。

• DisableHealthServiceAccessForOrganization— OrganizationsAWS Health とのやり取りの許可を取り消します。

• DescribeHealthServiceStatusForOrganization— 組織でAWS Healthが有効になっているかどうかに関するステータス情報を返します。

これらの API オペレーションを呼び出すには、ビジネスサポートプラン、エンタープライズ On-Ramp サポートプラン、またはエンタープライズサポートプランが必要です。少なくともビジネスサポートプランがあるアカウントから DescribeEventForOrganization および DescribeAffectedAccountsForOrganization オペレーションを呼び出すと、個々のアカウントのサポートレベルに関係なく、組織内の任意のアカウントに関する情報を返すことができます。次の 例を参照してください。

例: ビジネス者と開発者のサポートプランがあるアカウントを持つ組織

• 組織に 3 つのアカウントがあります。管理アカウントにビジネスサポートプランがあり、残りの 2 つのアカウントに開発者サポートプランがあります。

• 管理アカウントまたは必要なアクセス許可を持つロールを引き受けることができるアカウントから、DescribeEventForOrganization API オペレーションを呼び出します。

• AWS Health は、3 つのアカウントすべてに関する情報を返します。

少なくともビジネスサポートプランがあるアカウントから DescribeEventDetailsForOrganization および DescribeAffectedEntitiesForOrganization API オペレーションを呼び出すと、ビジネス、エンタープライズ On-Ramp、またはエンタープライズのサポートプランがある組織内のアカウントに関する情報のみを返すことができます。

例: エンタープライズ、ビジネス、および開発者のSupport プランがあるアカウントを持つ組織

• 組織に 5 つのアカウントがあります。管理アカウントにエンタープライズサポートプランがあり、2 つのアカウントにビジネスサポートプランがあり、2 つのアカウントに開発者サポートプランがあります。

• 管理アカウントから DescribeEventDetailsForOrganization API オペレーションを呼び出します。

• AWS Health は、エンタープライズサポートプランまたはビジネスサポートプランがあるアカウントの情報のみを返します。開発者サポートプランがあるアカウントは、応答の failedSet に表示されます。