はじめに
この記事は、Japan AWS Ambassador Advent Calendar 2022 の 12日目のエントリです。AWS Ambassadorって何?と言う方は、2022 Japan AWS Ambassadors ご紹介をご参照ください。なお、記載内容は所属会社を代表したものではなく、私の個人的な意見ということをご了承ください。
AWSパートナー経由のAWSアカウントだとOrganizationsが使えないってホント?
とよく聞かれるのですが、結論から言うと嘘です(笑)
使えない場合もあるというくらいですね。
では詳しく説明して行きましょう。
AWSアカウントの買い方
大きく分けて2通りあります。
1. AWSから直接購入
インターネットにアクセスできる環境、メールアドレス、クレジットカードがあればAWSをWEB申し込みで利用する事ができます。
2.AWSパートナー経由で購入
AWSパートナーにはSIerやクラウド専門業者などがあり、その会社から仕入れる形でAWSを利用することもできます。
アカウント購入方法によるメリデメ
| 項目 | AWS直接 | AWSパートナー経由 |
|---|---|---|
| 入手速度 | 〇 早い | △時間がかかることがある |
| 請求書払い | △ 2024/4/8修正 現在は可能(条件有) | 〇可 |
| ドル払い/円払い | 〇 最近選べるようになった | 〇通常日本企業では円払い |
| 価格 | 定価 | 独自の値引きや逆に付加価値による加算がある |
| システム構築 | △自分で作る前提 | 〇SIer系のAWSパートナー経由で購入すればやってくれる(有償) |
| サポート | △AWSサポートを契約すればAWS機能についてサポートされる | 〇AWSサービスに加えてシステム全体のサポートを受けられる(有償) |
AWSパートナーというものは、AWSを使ったシステムとして売ったり、独自の技術でAWSシステムを構築やサポートをしてくれたりするのですが、その多くはAWSパートナーからAWSを仕入れることが前提となりす。(中には作業だけやってくれる業者もありはしますが数は少ないです)
AWSパートナー経由で購入する場合の留意点
1.契約の種類
AWSパートナー経由のAWSアカウント購入には契約の種類が2種類あります。
エンドカスタマーアカウントモデル (ECAM) とソリューションプロバイダーアカウントモデル (SPAM) です。
ECAMとSPAMの違い
| 項目 | ECAM | SPAM |
|---|---|---|
| 親アカウントのroot管理 | AWSパートナー | AWSパートナー |
| 子アカウントのroot管理 | エンドユーザー | AWSパートナー |
| 支払 | AWSパートナー経由 | AWSパートナー経由 |
| アグリーメント | AWS及びAWSパートナー | AWSパートナー |
より自由度が高いのはECAMです。
AWS Organizationsを使ったことがある方ならご存じかもしれませんが、AWSアカウントはPayerと呼ばれる親カウントから実際にサービスを利用する子アカウントを払い出して利用することができます。最近ではシステムごとにAWSアカウントを分けたり開発環境と本番環境でAWSアカウントを分けることが主流になっていますが、複数のAWSアカウント全てにクレジットカード情報を入れると更新が大変ですし、AWS Organizationsのサービスコントロールポリシー (SCP)機能を使って、子アカウントでやって欲しくない機能を制限したりできります。
実は、AWSパートナーもこの機能を使って支払い代行を行っています。
故に、AWS Organizationsやこれらを統合的に管理できるサービスがAWS Control Towerを使う上で一部制約が入ります。
特にSPAMモデルで複数のエンドユーザーを1つのPayerアカウントで管理している場合、1エンドユーザーにAWS Organizations機能を開放できないので、AWS Organizationsは利用できないと考えた方がいいです。
逆に1エンドユーザーに対して1PayerアカウントをアサインしてECAM契約ができるならほぼ制限はないと考えていいです。そういう契約ができるか検討しているAWSパートナーに聞いてみてください。
判りにくいですがAWS社からもBLOGが公開されています。
https://aws.amazon.com/jp/blogs/psa/aws-control-tower-best-practices-for-aws-solution-providers/
2. AWSサポートの違い
AWSパートナーからAWSアカウントを仕入れる場合、2種類のサポート形態があります。
Partner-Led SupportとResold Supportです。
Partner-Led SupportとResold Supportの違い
| 項目 | Partner-Led | Resold |
|---|---|---|
| AWSへの直接問い合わせ | NG(AWSパートナーに問い合わせ) | OK |
| システム全体の問い合わせ | OK(システムとして見て回答) | NG(あくまでもAWSサービスの関する回答) |
| サポートレベル | AWSパートナーのSLA | AWSのSLA |
AWSパートナー経由でアカウントを購入する理由としてシステムの構築やシステムとしてのサポートを望むのであれば、Partner-Led Supportを選ぶと良いでしょう。自前で開発をする前提でAWSのサポートだけでよいのであれば、Resold Supportでも問題ありません。
なお、アカウントの契約形態(ECAM、SPAM)とは独立して、Partner-Led Support、Resold Supportを選択可能です。
参考)
https://aws.amazon.com/jp/premiumsupport/partner-led-support/
既にAWS直アカウントでOrganizationsを使ってる場合(意外と簡単)
既にAWS直アカウントでOrganizationsを使ってる場合、AWSパートナー経由に切り替える一番簡単な方法はPayerアカウント(親アカウント)をAWSパートナーに移譲手続きをしてECAM契約をすることです。この場合、親アカウントに設定されているOrganizationsに設定されている内容はそのまま維持され、AWSパートナー経由に切り替えることができます。ただし、一部の料金請求に関するSCP等はAWSパートナー側で変更不可にしたIAMをお渡しすることになります。前述の通り子アカウントのオーナーを変更する必要はありません。
まとめ
このようにAWSパートナー経由のAWSアカウントを利用する場合、アカウント契約(ECAM、SPAM)とサポート形式(Partner-Led Support、Resold Support)で計4つの組み合わせがあります。
AWSパートナーSIerにシステムとして運用を任せたいということであれば、SPAMとPartner-Led Supportがお勧めです。
逆にゴリゴリと自社でサーバリス開発をしていきたいと言った場合にはECAMとResold Supportでもいいと思います。ただし、Partner-Ledには各AWSパートナーさんのノウハウが詰まっています。そういったものを利用したいのであればECAMとPartner-Led Supportとなると思います。