AWS Organizationsとは?複数のAWSアカウントを一元管理できる

今回は現場でもよく利用されるAWS Organizationsの説明です。

AWS Organizationsとは?

AWS Organizationsは、複数の AWS アカウントを一元管理するAWSソリューションです。

IAMのアクセス管理を大きな組織でも楽に実施できるようにするマネージド型サービスです。。

複数のAWSアカウントに対してポリシーベースの管理を提供します。

複数アカウントをまとめたグループを作成し、アカウント作成を自動化し、それらのグループにポリシーを適用して管理できます。

AWS Organizationsを使用することで、カスタムスクリプトや手動プロセスを必要とせずに、複数のアカウントにわたってポリシーを集中管理できます。

これにより、複数のAWSアカウントにわたってAWSサービスの使用を一元的に制御するサービスコントロールポリシー(SCP)を作成できます

 

構成図で表現するとどうなる?

 

 

メリットは?

アカウントの作成を自動化し、ビジネスニーズを反映したアカウントのグループを作成し、それらのグループにポリシーを適用して管理することができます。

 

AWS Organizationsの一括請求により、単一の組織内の複数のAWSアカウントの支払いを統合できます。

Amazon EC2やAmazon S3などの一部のサービスでは、ユーザーがサービスをより多く使用すればするほど、ユーザーに低価格を提供する特定のボリューム価格が利用されています。

したがって、ボリュームを統合して請求することによって、コストを削減できる可能性があります。

 

構成要素

マスターAWSアカウントにメンバーAWSアカウントを追加するイメージ

  • AWSアカウント(マスター)※現在ログインしているAWSアカウント
    • AWSアカウント(メンバー)
    • AWSアカウント(メンバー)
    • AWSアカウント(メンバー)

「AWSアカウント(マスター)」が「AWSアカウント(メンバー)」に対して招待メール送って追加する

AWSアカウント(メンバー)を削除(独立)するには、権限をすべて削除する必要がある。

 

 

何ができる?

  • 一括請求
    • 複数のAWSアカウントの請求を一元化できる
  • 権限の一元化
    • 部署フォルダ(OU:組織単位)にユーザを入れ、部署フォルダにポリシーを付与する
  • 新規アカウント作成の自動化
    • コンソール/SDK/CLIでAWSアカウントを作成して、その内容をログ管理できる

 

機能セットの選択

支払一括代行と、アカウント全体管理の2つの方式を選択する

  • Consolidated Blling Only
    • 支払一括代行のみ実施する
    • ボリュームディスカウントを統合できるため、コストメリットが発生する
  • All Feature
    • 支払一括代行も含めて、企業内の複数アカウントを統制したい場合に選択

 

ボリュームディスカウントとは?

大量取引によって割引価格で仕入れる方法のこと。

従量制割引

SCPポリシーとは?

AWS OrganizationsとIAMの違い

  • AWS OrganizationsはAWSアカウントを管理するサービス
  • IAMはAWSアカウント内のIAMユーザを管理するサービス

 

※AWSアカウントができること、IAMユーザができることを比較する

 

AWS_Organizations記事一覧