自由気ままに書いちゃおう

好きなことをつらつらと・・・

【AWS】AWS Organizations(その2:実際に使ってみる)

前回からの続きです。

www.guri2o1667.work

 今回は、AWS Orgnizationsを実際に使ってみます。
組織作成、OU作成、AWSアカウント作成を行います。

 

■AWS Orgnizationsを始める

1.マスターアカウントとなるAWSアカウントでAdministratorAccessポリシーが紐づいているIAMユーザでログインします。
※AdministratorAccessポリシーじゃなくても良いのですが、細かいポリシー付与が手間なので今回は検証のため、当該ポリシーを利用することにしています。

2.「AWS Organizations」をクリックします。

f:id:guri2o1667:20210808113147p:plain

3.画面右側の「組織を作成する」をクリックします。

f:id:guri2o1667:20210808113240p:plain

4.AWSから確認メールが飛んでくるため、「Verify your email address」をクリックします。

f:id:guri2o1667:20210808113605p:plain

5.以下のような画面が表示されれば、ひとまずOrganizationsを利用する準備が整ったことになります。

f:id:guri2o1667:20210808113813p:plain

6.左ペインの「設定」をクリックすると、組織IDとマスターアカウント(=管理アカウント)を確認することができます。

f:id:guri2o1667:20210808114742p:plain

■組織単位(OU)を作成する

devというOUおよび、dev配下にdev1という子OUを作成します。

1.「Root」のチェックボックスにチェックを入れ、「アクション」>「新規作成」をクリックします。

f:id:guri2o1667:20210808114958p:plain


2.必要事項を記入し、「組織単位の作成」をクリックします。
※今回は、「dev」というOU名にして作成しました。

f:id:guri2o1667:20210808115112p:plain

3.以下のようにdevというOUが作成され、Root直下に置かれていることが確認できます。

f:id:guri2o1667:20210808115249p:plain

4.「dev」のチェックボックスにチェックを入れ、「アクション」>「新規作成」をクリックします。

5.手順2同様に必要事項を入力します。

6.最終的に以下のような階層構造が出来上がります。

※この時点ではOUに紐づくAWSアカウントは未作成です。
f:id:guri2o1667:20210808115709p:plain

■メンバーアカウントを作成する

devに所属させるAWSアカウント(=メンバーアカウント。ここでは、dev-memberという名前にします)を新規作成します。

1.「AWSアカウントを追加」をクリックします。

f:id:guri2o1667:20210808115918p:plain

2.以下の画面が表示されるため、必要事項を入力します。
※今回は新規アカウントの作成のため、「AWSアカウントを作成」のラジオボタンを選択しています。
※IAMロールはデフォルトのままとします。
※「アカウント所有のEメールアドレス」は既にAWSアカウントとして利用されているものを入力した場合、AWSアカウントの作成が失敗します。

f:id:guri2o1667:20210808115951p:plain

AWSアカウントの作成に失敗した場合、以下のように表示されます。

f:id:guri2o1667:20210808120512p:plain


3.AWSアカウントを作成中は、画面上部に以下のような帯が表示されます。

※作成完了までに5分程度かかります。
f:id:guri2o1667:20210808130557p:plain

4.作成が完了すると、「組織構造」の中に作成したAWSアカウントが表示されます。
※この状態だと、OUに所属していないため、次の手順で当該AWSアカウント(ここでは、dev1-member)をdevOUに移動します。

f:id:guri2o1667:20210808131044p:plain

5.dev1-memberにチェックを入れ、「アクション」>「移動」を選択します。

f:id:guri2o1667:20210808131248p:plain

6.移動先でdevを選択し、「AWSアカウントを移動」をクリックします。

f:id:guri2o1667:20210808131401p:plain


7.dev1-memberアカウントがdevOUに移動できたことが確認できます。

f:id:guri2o1667:20210808131501p:plain

■OrganizationAccountAccessRoleについて

AWSアカウントを作成する際、以下の通り「IAMロール名」に自動的に「OrganizationAccountAccessRole」が入力されており、デフォルトのまま、AWSアカウントを作成をクリックしております。

f:id:guri2o1667:20210808115951p:plain


こちらのロールですが、マスターアカウント内のIAMユーザを利用しメンバーアカウントにログインすることができるようになります。

■メンバーアカウントにログインする

では早速ですが、マスターアカウントであるIAMユーザを利用してdev1-memberアカウントにログインしてみようと思います。

0.マスターアカウントのIAMユーザでAWS管理コンソールにログインします。
※ここまでの手順を実施した場合には、既にログイン済みだと思いますのでスキップしてください。

1.メンバーアカウントのAWSIDを確認します。
※dev1-memberをクリックすると、「ID」欄に記載があるのでそれをコピーします。

2.画面右上の現在ログイン中のIAMユーザをクリックし「ロールの切り替え」をクリックします。

f:id:guri2o1667:20210808132853p:plain

3.「ロールの切り替え」をクリックします。

f:id:guri2o1667:20210808132930p:plain

4.必要情報を入力します。
※アカウントのところには、AWSIDを入力します。
※ロールのところには、OrganizationAccountAccessRoleを入力します。
※表示名はわかりやすいようにアカウント名を記載します。ここで指定した文字列は切り替わったAWS管理コンソール画面のユーザ名として表示されます。
(そのため、任意の文字列で構いません)

f:id:guri2o1667:20210808133021p:plain


5.上手くいくと、dev1-memberにログインできます。
※このAWS管理コンソールからEC2やVPCとかをクリックするとまっさらな状態で管理コンソール画面が表示されます。

f:id:guri2o1667:20210808133249p:plain

 

6.マスターアカウントに戻るには、画面右上の「dev1-member」をクリックして、「~に戻る」(~はマスターアカウントのIAMユーザ名)をクリックします。

f:id:guri2o1667:20210808133737p:plain


以上です。

 

www.guri2o1667.work