IT技術・ノウハウ

【AWS SAP対策】AWS Organaizations とは?

2022年2月27日

こんにちは、yassanです。
今回は、【AWS SAP対策】AWS Organaizations とは?について紹介します。

AWS Organaizationsは、AWS SAPの「組織の複雑さに対応する設計」の範囲に含まれるサービスです。

AWS Organaizations とは?

AWS Organaizations は、AWSアカウントを統合して、一括管理することができるサービスです。

会社などの組織では、AWSアカウントを複数持つことは珍しくないと思います。
例えば、部門ごとにそれぞれAWSアカウントを所持したり、本番・ステージ・開発と目的ごとにAWSアカウントを所持している場合などです。

このような場合、AWS Organaizationsを使わずにそれぞれ個別で管理していると、以下のような問題が生じます。

  • アカウントごとにクレジットカード・電話番号の用意が必要
  • アカウントごとにIAMロール・ポリシーの権限管理が必要
  • アカウントごとにコスト管理・支払いが必要

AWS Organaizationsを使ってAWSアカウントを統合することで、これらの問題が解決されます。

  • アカウントごとにクレジットカード・電話番号の用意が必要
     →AWSアカウント作成の自動化・リソース管理の効率化
  • アカウントごとにIAMロール・ポリシーの権限管理が必要
     →SCP・OUでのポリシー一元管理
  • アカウントごとにコスト管理・支払いが必要
     →一括請求管理

では、それぞれ紹介します。

OU(Organaizations Unit)とは、AWS Organaizationsで利用できる組織単位のことです。
AWSアカウントをある役割(例えば、部署・グループ・チームなど)でまとめたものです。
OUのネストは最大5つまでです。

アカウント作成の自動化・リソース管理の効率化

AWS Organaizationsの中では、マネジメントコンソールやCLIを使用してAWSアカウント作成を自動化することができます。
この際、クレジットカードや電話番号といった個人情報は不要です。

上記のように、新規でアカウント作成することもできますし、
既存で使用しているアカウントをAWS Organaizationsに取り込むことももちろん可能です。

リソース管理の効率的になります。

CloudTrailの対象範囲をAWS Organaizaitionsで一元化することができますし、
CloudFormation StackSetsも利用できるので、組織を指定してスタックの作成・変更・削除ができます。

CloudTrailは、AWSアカウント内の証跡を記録するサービスです。
CloudFormationは、AWSリソースの作成・変更・削除がコードでできるIaCサービスです。

SCP (Service Control Policy)

SCPは、複数のAWSアカウントの権限の制御をするための機能です。
SCPによって、OUやAWSアカウント単位で、サービスのアクセス許可を一元管理することができます。

また、SCPは階層ごとにフィルタリングをすることができます。
例えば、ルートアカウントではすべてを許可とし、配下のOUではEC2とRDSのみ操作を許可し、さらに配下のOUでEC2のみ許可...といったように、子のアカウントに向けてフィルタリングができます。
このとき、子のアカウント側と親のアカウント側で制御が異なっていた場合は、もちろん親の方の権限が優先されます。

SCPはIAMと合わせて利用することもできます。
OU・AWSアカウントの管理はSCP、AWSアカウント内はIAMという使い分けになります。

SCPでは特定のIAMユーザーの権限を管理することはできません。
OU・AWSアカウント内の権限管理はIAMで行います。

SCPは、許可リスト戦略か拒否リスト戦略のどちらかを選んで運用するのを推奨としています。
許可リスト戦略はその名の通り、アクセスできるサービスを明示的に許可してフィルタリングする方式で、
拒否リスト戦略はその名の通り、全許可を前提に、例外として明示的に拒否したいルールを追加していく方式です。

一括請求

AWS Organaizationsを利用することで、請求を一元管理をすることができます。

AWS Organaizations内にあるOU・AWSアカウントの請求を、AWS Organaizationsのルートアカウントにひとまとめにすることができます。
また、コストや使用状況の分析も、OU・AWSアカウントを横断して複合的に分析することもできます。

まとめ

というわけで、【AWS SAP対策】AWS Organaizations とは? でした。

AWS Organaizaitionsを利用して、AWSアカウントを統括管理することで、
以下のメリットがあります。

  • AWSアカウント作成の自動化・リソース管理の効率化
  • SCP・OUでのポリシー一元管理
  • 一括請求管理

以上です。

AWS学習におすすめの書籍

AWSについて、しっかりと基礎から学びたい、実践的なスキルを身につけたいと考えている方向けに、おすすめの書籍を紹介します。
これらの書籍は、実際にAWSエンジニアとして働く僕が参考にしている書籍です。

AWSエンジニア入門講座――学習ロードマップで体系的に学ぶ

AWSを使いこなすための前提となるITインフラの知識が足りない初学者にとって、どこからどのように学べばよいのかがわかりづらくなっています。そこで本書では、AWS学習サイト運営YouTuberである監修者自身が実サービスの導入で習得しながら体系化した「学習ロードマップ」に沿って、AWSのサービスとIT技術をやさしく解説していきます。

著者が作成した学習ロードマップに沿って、AWSやインフラストラクチャを体系的に学ぶことができます。
付属のロードマップの完成度が高く、学習に迷ったときや復習にも使えます。
これからAWSエンジニアを目指す方や、インフラストラクチャを基礎から学びたい方におすすめです。

Amazon Web Services 業務システム設計・移行ガイド

オンプレミス上に構築された業務システムをAWS上に移行するための「サービスの選定」「ネットワーク設計・構築」「サーバとデータの移し方」「運用・監視体制の構築」など。これまで多くの企業にAWSを導入し、コンサルティングフェーズから実際の設計・開発、運用フェーズまでの全行程に携わってきた著者陣のノウハウを凝縮して、一般的な企業にAWSを導入する際のベストプラクティスをお届けします。

実務を想定した様々なユースケースとそれに対するベストプラクティスを、設計構築から運用まで幅広くカバーして紹介しています。
タイトルからは移行に焦点を当てたように見えますが、僕としては移行に限らずエンタープライズとしてAWSを利用する上で知っておくべきことが記されていると思います。
より実践的な知識やノウハウを身に着けたい方、初学者から一皮むけたい方におすすめです。

-IT技術・ノウハウ
-, , ,