AWS Organizationsとは
複数のAWSアカウントを利用している場合に、統合管理を行うマネージド型サービスです。
利用可能なサービスをAWSアカウント単位で制限するSCP(サービスコントロールポリシー)が扱えるようになっています。
AWS Organizationsでできること
〇複数アカウントの一元管理
AWSアカウントをグループ化してポリシーを適用し、一元的に管理します。
〇新規アカウントの作成管理
コンソール/SDK/CLIでAWSアカウントを新規作成して、作成内容をログ管理できます。
〇請求とコストの一元管理
複数AWSアカウントの請求を一括化できます。
〇アカウント間のリソース共有
AWSアカウント間やUO間でリソースの共有を行えるようになります。共有できるリソースを複数アカウント個別で作成する必要はなくなり、運用上のオーバーヘッドが削減されます。
Organizationsの選択
支払一括代行とアカウント全体管理の2つの方式を選択できます。
Consolidated Billing Only
支払一括代行のみを実施する場合に選択します。
ボリュームディスカウントを統合できるため、コストメリットが発生します。
ボリュームディスカウントとは
まとめ買いをすろことで1つあたりの単価を抑えること。
All Feature
支払一括代行も含めて、企業内の複数アカウントを統制したい場合に選択します。
アカウントの設定
AWSアカウントの中からマスターアカウントを選定します。
メンバーアカウントはマスターアカウントから招待を承認するとメンバーアカウントとして登録できます。メンバーアカウントから削除するには独立したアカウントとして請求処理など設定する必要がありましたが、コンソールから容易に削除できるようになりました。
IAMとAWS Organizations
IAMはAWSアカウント内のユーザー管理を実施します。
Organizationsは複数のAWSアカウント自体の管理を実施します。
IAMポリシーとSCP
IAMはAWSアカウント内のユーザーへの許可権限を付与し、SCPはAWSアカウント全体の権限付与が可能な範囲を決めます。
SCP
SCPには、許可する範囲を指定するホワイトリスト形式と、拒否する範囲を指定するブラックリスト形式が存在します。
ホワイトリスト形式に加えて拒否設定が追加されると、明示的か拒否設定が優先されます。
リソースのシェア
AWS Organizationsのメンバーアカウント間でリソースを共有できます。
RAM(AWS Resource Access Manager)との連携
・異なるAWSアカウントとリソースを共有する仕組みです。
・AWS Organizationsの組織内のアカウントや組織外のアカウントとの共有も可能です。
・1つのVPC共有して、複数のアカウントのリソースを展開することができます。
・リソース間の通信が用意になります。
リザーブドインスタンスの共有
・AWS Organizationsの機能です。
・アカウントでリザーブドインスタンスの共有がオンになっていると使えます。
・AWS Organizationsを利用した一括請求でリザーブドインスタンが共有されます。
参考記事