目次
今回は現場でもよく利用されるAWS Organizationsの説明です。
AWS Organizationsとは?
AWS Organizationsは、複数の AWS アカウントを一元管理するAWSソリューションです。
IAMのアクセス管理を大きな組織でも楽に実施できるようにするマネージド型サービスです。。
複数のAWSアカウントに対してポリシーベースの管理を提供します。
複数アカウントをまとめたグループを作成し、アカウント作成を自動化し、それらのグループにポリシーを適用して管理できます。
AWS Organizationsを使用することで、カスタムスクリプトや手動プロセスを必要とせずに、複数のアカウントにわたってポリシーを集中管理できます。
これにより、複数のAWSアカウントにわたってAWSサービスの使用を一元的に制御するサービスコントロールポリシー(SCP)を作成できます
構成図で表現するとどうなる?
メリットは?
アカウントの作成を自動化し、ビジネスニーズを反映したアカウントのグループを作成し、それらのグループにポリシーを適用して管理することができます。
AWS Organizationsの一括請求により、単一の組織内の複数のAWSアカウントの支払いを統合できます。
Amazon EC2やAmazon S3などの一部のサービスでは、ユーザーがサービスをより多く使用すればするほど、ユーザーに低価格を提供する特定のボリューム価格が利用されています。
したがって、ボリュームを統合して請求することによって、コストを削減できる可能性があります。
構成要素
マスターAWSアカウントにメンバーAWSアカウントを追加するイメージ
- AWSアカウント(マスター)※現在ログインしているAWSアカウント
- AWSアカウント(メンバー)
- AWSアカウント(メンバー)
- AWSアカウント(メンバー)
「AWSアカウント(マスター)」が「AWSアカウント(メンバー)」に対して招待メール送って追加する
AWSアカウント(メンバー)を削除(独立)するには、権限をすべて削除する必要がある。
何ができる?
- 一括請求
- 複数のAWSアカウントの請求を一元化できる
- 権限の一元化
- 部署フォルダ(OU:組織単位)にユーザを入れ、部署フォルダにポリシーを付与する
- 新規アカウント作成の自動化
- コンソール/SDK/CLIでAWSアカウントを作成して、その内容をログ管理できる
機能セットの選択
支払一括代行と、アカウント全体管理の2つの方式を選択する
- Consolidated Blling Only
- 支払一括代行のみ実施する
- ボリュームディスカウントを統合できるため、コストメリットが発生する
- All Feature
- 支払一括代行も含めて、企業内の複数アカウントを統制したい場合に選択
ボリュームディスカウントとは?
大量取引によって割引価格で仕入れる方法のこと。
SCPポリシーとは?
AWS OrganizationsとIAMの違い
- AWS OrganizationsはAWSアカウントを管理するサービス
- IAMはAWSアカウント内のIAMユーザを管理するサービス
※AWSアカウントができること、IAMユーザができることを比較する
