101
7
0

AWS Organizationsの備忘録

Published at November 22, 2022 6:14 p.m.
Edited at November 22, 2022 6:58 p.m.

概要

AWS Organizations = 複数のアカウントを一元管理することができるサービス。
複数のアカウントをグループ化してそのグループに対して共通ポリシーを設定することができます。

例)
PLの部署ごと
 ・ソリューション事業部
 ・バックオフィス
 ・その他
と部署ごとに各グループ化し、あるawsサービスを操作できるのはソリューション事業部グループに属しているアカウントだけにしてバックオフィスグループとその他グループには操作を許可しないといったことが行えます。

アカウントごとにポリシーを設定するのではなく、グループに対してポリシーを設定して統制できるのがAWS Organizations の特徴。うまく使えば複数アカウントを効率よく管理することができます。

仕組み

AWS Organizationsでは複数アカウントを組織という単位で管理を行なっています。
組織内のアカウントは管理アカウント(マネジメントアカウント)メンバーアカウントに分けられ、
管理アカウントは1組織の中で1つだけしか存在せず、管理アカウント以外はメンバーアカウントになります。
管理アカウント = 親アカウント メンバーアカウント = 子アカウント と表現されることもあります。
親アカウントが子アカウントを統括して管理しています。

組織内では複数のメンバーアカウントを組織単位(OU)としてグループ化することができ、OUごとにサービスコントロールポリシー(scp)を用いて、そのOUに対して権限を適用させます。また、管理アカウントでは組織全体に反映するscpを設定することが可能です。

以下図はAWS Organizationsの管理方法を表したものになります。
AWS Organizationsの図 (1)

管理アカウントのSCPで設定された権限は、この組織全体で有効となります。OU(OU-AグループとOU-Bグループ)のそれぞれに設定したSCPは、各OUのAWSアカウントで有効となります。

AWS Organizationsでできること

・awsアカウントの一元管理
・新規アカウントの作成・管理
・請求とコストの一元管理
・アカウント間のリソース共有

awsアカウントの一元管理

上記で説明してきた通り、AWS OrganizationsではAWSアカウントを一元管理できます。組織単位(OU)を定義し、部署などのグループ単位でサービスコントロールポリシー(SCP)を設定できます。

新規アカウントの作成・管理

従来、アカウントを新規作成する際はクレジットカードの登録や各種認証などの対応が必要ですが、AWS Organizationsでは管理アカウントで簡単にAWSアカウント(メンバーアカウント)を作成できます。作成したAWSアカウントは同一組織内のメンバーアカウントとなります。また、所属するOUを指定することで、他のAWSアカウントと同様のポリシーを自動的に適用させることも可能です。
なお、別の組織に所属するメンバーアカウントを自分の組織に招待したり、自組織からメンバーアカウントを離脱させることも可能です。

請求とコストの一元管理

通常、AWSの請求単位はAWSアカウントです。しかし、AWS Organizationsでは、その組織のAWS利用料金を管理アカウントで一元管理することが可能です。AWSからの請求は管理アカウントにまとめて行われます。組織全体のAWS利用料はもちろん、AWSアカウント単位、サービス単位でもコストを把握できるため、コストの最適化が容易となります。
なお、AWSのいくつかのサービス(Amazon S3など)は利用ボリュームが多いほど価格が安くなるボリュームディスカウントが用意されています。通常これはアカウントに計算されますが、AWS Organizationsを利用していると、組織全体の利用ボリュームでディスカウントが適用されるため、AWS利用料の削減につながります。

アカウント間のリソース共有

AWS Organizationsの組織内で、AWS Resource Access Manager(AWS RAM)を用いるとAWSアカウント間やOU間でリソースの共有を行えるようになります。これによって、共有できるリソースを複数アカウント個別で作成する必要はなくなり、運用上のオーバーヘッドが削減されます。

AWS Organizationsの料金

AWS Organizations自体の機能(OUやSCPなど)は、無料で利用できるのも大きな魅力です。
ただし、AWS Organizationsが連携して利用する各種サービスや組織内で作成したAWSアカウントが利用したリソースは、使用量に応じて課金が発生します。

感想

sapに出てくる範囲で自分があまり知らない範囲だったので今回キベラにまとめました。PLのアカウントでも設定してみてもいいんじゃないかなと思いました。