AWS Organizationsについてです。
■AWS Organizationsとは
以下を実現できます。
1.複数AWSアカウントの一元管理(ポリシー準拠)
2.新規AWSアカウントの作成(自動化、簡素化)
3.複数AWSアカウントの請求を一括請求
尚、無料で利用することができます。
■AWS Organizationsで利用される用語
【AWSアカウント】
今更ですが、IAMアカウントのことではなく、AWSのルートアカウントのことです。
そのため、メールアドレス及び12桁の識別IDでアカウントを識別可能です。
【組織】
AWS Organizationsで一元管理する対象の全体を指します。
組織内には複数のAWSアカウントが所属することになります。
【マスターアカウント】【管理アカウント】
現在は「管理アカウント」という呼称が使われています。
「マスターアカウント」は古い言葉です。
ただ、同じ意味ですので他のサイト等でマスターアカウントや管理アカウントとできた場合には、「同じこと」というのを前もって認識しておくと良いと思います。
AWS Organizationsで登録した組織内のAWSアカウントのうち、
最上位の管理権限を持つ(=ほかのAWSアカウントを束ねる)AWSアカウントを指します。
マスターアカウントは一つのAWSアカウントしか存在することができません。
【メンバーアカウント】
組織内に所属しているマスターアカウント以外のAWSアカウントのことです。
【組織単位(OU)】
ActiveDirectoryで使われるOUと同じ概念です。
複数のAWSアカウントを所属させるグループみたいなものです。
組織内で複数のOUを作成することができます。
また、OUを階層構造にすることもできます。
例えば、上位OU>下位OUといった感じです。
【ルートOU】
OUを階層構造化する際に、ベースとなるOUのことです。
ルートOUを作成する理由は、OUで階層構造を作ることで、OUに紐づけたポリシーを継承することができます。
【サービス管理ポリシー(SCP)】【承認ポリシー】
SCPでは利用できるAWSサービスとアクションを定義することができます。
またSCPをOUに紐づけることでSCPを適用することができます。
※イメージ的にはActiveDirectoryのGPOみたいな感じです。
承認ポリシーと呼ばれることもあります。
※正確には「承認ポリシー」は後述のポリシータイプを示すものです。
ただし、執筆時点では承認ポリシーに分類されているのがSCPのみのため、「承認ポリシー=SCP」となります。
【ポリシータイプ】
「SCP」以外にもAWS Organizationsではポリシーとつくものがあります。
公式ページがわかりやすいので引用します。
引用元:AWS Organizations ポリシーの管理 - AWS Organizations
つまり、SCPは承認ポリシーというカテゴリに分類されているってことです。
AWS管理コンソール画面上だと以下の通りです。
【機能セット】
AWS Organizationsを始める際に必ず機能セットを選びます。
機能セットは2つあります。
1.Consolidated Billing Only
SCPによる複数のAWSアカウントを管理する要件が無い時に選びます。
そのため、こちらの機能セットを選んだ時にできることは、以下の通りです。
・マスターアカウントへの一括請求
・アカウントの新規作成/削除/招待
2.All Feature
SCPを利用したいときにはこちらの機能セットを選びます。
もちろん、Consolidated Billing Onlyで出来ることも可能です。
尚、Consolidated Billing OnlyでAWS Organizationsを利用し始めて、
途中でAll Featureに変更することも可能です。
その際には、マスターアカウント/メンバーアカウントのすべてで合意が必要になります。
■マスターアカウントの選択基準について
どのAWSアカウントをマスターアカウントとするかは、AWS Orgnizationsを利用し始めるときに決めておく必要があります。
マスターアカウントは以下の役目があるため、これらの役目を果たすことができるAWSアカウントを決めます。
・組織(=複数OU)のAWS利用料の支払い
・AWSアカウントを招待する側なのか、される側なのか。
・AWSアカウントを削除する側なのか、される側なのか。
以上です。