前回からの続きです。
今回は、AWS Orgnizationsを実際に使ってみます。
組織作成、OU作成、AWSアカウント作成を行います。
- ■AWS Orgnizationsを始める
- ■組織単位(OU)を作成する
- ■メンバーアカウントを作成する
- ■OrganizationAccountAccessRoleについて
- ■メンバーアカウントにログインする
■AWS Orgnizationsを始める
1.マスターアカウントとなるAWSアカウントでAdministratorAccessポリシーが紐づいているIAMユーザでログインします。
※AdministratorAccessポリシーじゃなくても良いのですが、細かいポリシー付与が手間なので今回は検証のため、当該ポリシーを利用することにしています。
2.「AWS Organizations」をクリックします。
3.画面右側の「組織を作成する」をクリックします。
4.AWSから確認メールが飛んでくるため、「Verify your email address」をクリックします。
5.以下のような画面が表示されれば、ひとまずOrganizationsを利用する準備が整ったことになります。
6.左ペインの「設定」をクリックすると、組織IDとマスターアカウント(=管理アカウント)を確認することができます。
■組織単位(OU)を作成する
devというOUおよび、dev配下にdev1という子OUを作成します。
1.「Root」のチェックボックスにチェックを入れ、「アクション」>「新規作成」をクリックします。
2.必要事項を記入し、「組織単位の作成」をクリックします。
※今回は、「dev」というOU名にして作成しました。
3.以下のようにdevというOUが作成され、Root直下に置かれていることが確認できます。
4.「dev」のチェックボックスにチェックを入れ、「アクション」>「新規作成」をクリックします。
5.手順2同様に必要事項を入力します。
6.最終的に以下のような階層構造が出来上がります。
※この時点ではOUに紐づくAWSアカウントは未作成です。
■メンバーアカウントを作成する
devに所属させるAWSアカウント(=メンバーアカウント。ここでは、dev-memberという名前にします)を新規作成します。
1.「AWSアカウントを追加」をクリックします。
2.以下の画面が表示されるため、必要事項を入力します。
※今回は新規アカウントの作成のため、「AWSアカウントを作成」のラジオボタンを選択しています。
※IAMロールはデフォルトのままとします。
※「アカウント所有のEメールアドレス」は既にAWSアカウントとして利用されているものを入力した場合、AWSアカウントの作成が失敗します。
AWSアカウントの作成に失敗した場合、以下のように表示されます。
3.AWSアカウントを作成中は、画面上部に以下のような帯が表示されます。
※作成完了までに5分程度かかります。
4.作成が完了すると、「組織構造」の中に作成したAWSアカウントが表示されます。
※この状態だと、OUに所属していないため、次の手順で当該AWSアカウント(ここでは、dev1-member)をdevOUに移動します。
5.dev1-memberにチェックを入れ、「アクション」>「移動」を選択します。
6.移動先でdevを選択し、「AWSアカウントを移動」をクリックします。
7.dev1-memberアカウントがdevOUに移動できたことが確認できます。
■OrganizationAccountAccessRoleについて
AWSアカウントを作成する際、以下の通り「IAMロール名」に自動的に「OrganizationAccountAccessRole」が入力されており、デフォルトのまま、AWSアカウントを作成をクリックしております。
こちらのロールですが、マスターアカウント内のIAMユーザを利用しメンバーアカウントにログインすることができるようになります。
■メンバーアカウントにログインする
では早速ですが、マスターアカウントであるIAMユーザを利用してdev1-memberアカウントにログインしてみようと思います。
0.マスターアカウントのIAMユーザでAWS管理コンソールにログインします。
※ここまでの手順を実施した場合には、既にログイン済みだと思いますのでスキップしてください。
1.メンバーアカウントのAWSIDを確認します。
※dev1-memberをクリックすると、「ID」欄に記載があるのでそれをコピーします。
2.画面右上の現在ログイン中のIAMユーザをクリックし「ロールの切り替え」をクリックします。
3.「ロールの切り替え」をクリックします。
4.必要情報を入力します。
※アカウントのところには、AWSIDを入力します。
※ロールのところには、OrganizationAccountAccessRoleを入力します。
※表示名はわかりやすいようにアカウント名を記載します。ここで指定した文字列は切り替わったAWS管理コンソール画面のユーザ名として表示されます。
(そのため、任意の文字列で構いません)
5.上手くいくと、dev1-memberにログインできます。
※このAWS管理コンソールからEC2やVPCとかをクリックするとまっさらな状態で管理コンソール画面が表示されます。
6.マスターアカウントに戻るには、画面右上の「dev1-member」をクリックして、「~に戻る」(~はマスターアカウントのIAMユーザ名)をクリックします。
以上です。