はじめに
マルチ環境、マルチアカウントを前提としたAWSとGCPのユーザ、組織、プロジェクト、環境構成の違いについて書きたいと思います。
それぞれのクラウドにおける用語の対応表は以下になります。
AWSにおけるマルチ環境、マルチアカウント構成
AWSにおけるマルチ環境、マルチアカウント構成は、AWS Organizationという機能を使った管理が推奨となります。
イメージ的には以下のような形です。
組織を管理するAWSマスターアカウントがあり、Rootを頂点としたツリー構造をとり、各OUにAWSアカウントが入る構成となります。RootやOU,AWSアカウントに対してSCP(Service Constrol Policy)を付与することにより、使用できる機能の制限がなどが可能となります。AWSのマスターアカウントに対してはSCPを付与することができません。
マネジメントコンソールへのログインは、基本的に各AWSアカウントでIAMユーザを作成してパスワード認証によりログインして、ComputeやStorageといったリソースを作成管理します。
上記だと、IAMユーザ管理が煩雑になるため、IAMユーザの代わりにIAMロールを各AWSアカウントに作成し、一度任意のIAMユーザでログインした後、別のAWSアカウントにSwitch Roleする運用も可能です。
Switch Roleを手動で行うには、移動先のAWSのアカウントのIDやIAMロール名を入力する必要があり、ログイン作業が煩雑になることもありAWS SSO機能追加されました。
SSOを利用すると、SSO画面からログインする対象のAWSアカウントを選択することでログインすることできます。
SSOのユーザデータベースは、SSOのビルトインのもや、既存のActive Directoryとの連携が可能です。
GCPにおけるマルチ環境、マルチアカウント構成
AWSのIAMユーザユーザがAWSアカウントに紐づくのと異なり、GCPは、ユーザ個別にGoogleアカウントを払い出し、Googleアカウントに対して任意のプロジェクトへの権限を付与する形になります。
