自由気ままに書いちゃおう

好きなことをつらつらと・・・

【AWS】AWS Organizations(その1)

AWS Organizationsについてです。

■AWS Organizationsとは

以下を実現できます。
1.複数AWSアカウントの一元管理(ポリシー準拠)
2.新規AWSアカウントの作成(自動化、簡素化)
3.複数AWSアカウントの請求を一括請求

尚、無料で利用することができます。

■AWS Organizationsで利用される用語

【AWSアカウント】

今更ですが、IAMアカウントのことではなく、AWSのルートアカウントのことです。
そのため、メールアドレス及び12桁の識別IDでアカウントを識別可能です。

【組織】

AWS Organizationsで一元管理する対象の全体を指します。
組織内には複数のAWSアカウントが所属することになります。

【マスターアカウント】【管理アカウント】

現在は「管理アカウント」という呼称が使われています。
「マスターアカウント」は古い言葉です。
ただ、同じ意味ですので他のサイト等でマスターアカウントや管理アカウントとできた場合には、「同じこと」というのを前もって認識しておくと良いと思います。

AWS Organizationsで登録した組織内のAWSアカウントのうち、
最上位の管理権限を持つ(=ほかのAWSアカウントを束ねる)AWSアカウントを指します。
マスターアカウントは一つのAWSアカウントしか存在することができません。

【メンバーアカウント】

組織内に所属しているマスターアカウント以外のAWSアカウントのことです。

【組織単位(OU)】

ActiveDirectoryで使われるOUと同じ概念です。
複数のAWSアカウントを所属させるグループみたいなものです。
組織内で複数のOUを作成することができます。
また、OUを階層構造にすることもできます。
例えば、上位OU>下位OUといった感じです。

【ルートOU】

OUを階層構造化する際に、ベースとなるOUのことです。
ルートOUを作成する理由は、OUで階層構造を作ることで、OUに紐づけたポリシーを継承することができます。

 

【サービス管理ポリシー(SCP)】【承認ポリシー】

SCPでは利用できるAWSサービスとアクションを定義することができます。
またSCPをOUに紐づけることでSCPを適用することができます。
※イメージ的にはActiveDirectoryのGPOみたいな感じです。

承認ポリシーと呼ばれることもあります。
※正確には「承認ポリシー」は後述のポリシータイプを示すものです。
 ただし、執筆時点では承認ポリシーに分類されているのがSCPのみのため、「承認ポリシー=SCP」となります。

 

www.guri2o1667.work

www.guri2o1667.work

 

【ポリシータイプ】

「SCP」以外にもAWS Organizationsではポリシーとつくものがあります。
公式ページがわかりやすいので引用します。
引用元:AWS Organizations ポリシーの管理 - AWS Organizations

f:id:guri2o1667:20210805141417p:plain

つまり、SCPは承認ポリシーというカテゴリに分類されているってことです。

AWS管理コンソール画面上だと以下の通りです。

f:id:guri2o1667:20210808141038p:plain



【機能セット】

AWS Organizationsを始める際に必ず機能セットを選びます。
機能セットは2つあります。
1.Consolidated Billing Only
  SCPによる複数のAWSアカウントを管理する要件が無い時に選びます。
  そのため、こちらの機能セットを選んだ時にできることは、以下の通りです。
  ・マスターアカウントへの一括請求
  ・アカウントの新規作成/削除/招待

2.All Feature
  SCPを利用したいときにはこちらの機能セットを選びます。
  もちろん、Consolidated Billing Onlyで出来ることも可能です。

尚、Consolidated Billing OnlyでAWS Organizationsを利用し始めて、
途中でAll Featureに変更することも可能です。
その際には、マスターアカウント/メンバーアカウントのすべてで合意が必要になります。

■マスターアカウントの選択基準について

どのAWSアカウントをマスターアカウントとするかは、AWS Orgnizationsを利用し始めるときに決めておく必要があります。
マスターアカウントは以下の役目があるため、これらの役目を果たすことができるAWSアカウントを決めます。
・組織(=複数OU)のAWS利用料の支払い
・AWSアカウントを招待する側なのか、される側なのか。
・AWSアカウントを削除する側なのか、される側なのか。


以上です。

 

www.guri2o1667.work