LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@duelist2020jp(Kiyomasa Miyamoto)

AWS Organizationsの使用事始め

Posted at

はじめに

組織内で複数のAWSアカウントを所有している場合、AWS Organizationsを使用することで、AWS環境の一元管理やガバナンスを効かせることが可能になりますが、業務でAWS環境の管理者経験のある方でなければ、AWSを触ってる方でもおそらくは数多くのAWSサービスの中でも使用する機会のないサービスかと思います。とはいえ、AWS Organizationsは無料で使用できますし、いつ何時業務でAWS環境管理を任されないとも限りません。(そもそも業務でAWSを使う機会があるのかというのもありますが、とりあえずそれは置いておきます。)

そこで、今回は個人で利用しているAWSアカウントを使用して、AWS Organizationsサービスを使って、アカウントの招待や組織単位(Organizational Unit)の作成などをしてみました。以下にそのときの手順を備忘録的にまとめておきます。

事前準備

  • 複数のAWSアカウントの準備
    • AWS Organizationsを使用する上で、以下のアカウントを用意します。
      • 管理者アカウント(旧称:マスターアカウント)
        • メインで利用しているAWSアカウントになります。
      • 管理対象アカウント
        • 自身の組織に招待するためのAWSアカウントになります。Gmail等のフリーメールアドレスがあれば、それを使ってAWSアカウントの新規登録をしておけばOKです。

AWS Organizations登録作業

1. 管理者アカウントでの組織作成作業
下記のAWS Organizations画面において「組織を作成する」ボタンをクリックします。
AWS Organizations登録画面.png

ボタンを押したら特に入力項目などはなく、即座に作成が行われ、作成が終わると下記のような画面が表示されます。(管理アカウントのE-mailアドレスやアカウントIDも表示されますが、割愛しています。)
AWS Organizations登録完了画面.png
管理アカウントのE-mailアドレスが一度もAWS側で検証されていない場合には、対象のE-mailアドレスに対して「AWS Organizations email verification request」というタイトルのメールが届きます。そのメール本文内にある「Verify your email adress」ボタンを押すと、AWSで検証済みのE-mailアドレスとなります。

2. 管理者側でのアカウントの招待作業
上記の手順1で表示されているAWSアカウント画面において、「AWSアカウントを追加」ボタンをクリックします。すると下記のような画面が表示されますので、以下の対応を行います。

  • 「既存のAWSアカウントを招待」のラジオボタンにチェックを入れます。
  • 「招待するAWSアカウントのEメールアドレスまたはアカウントID」欄に、自身の組織に招待するためのもう1つのAWSアカウントに関する情報を入力します。
  • 「招待Eメールメッセージに含めるメッセージ」(オプション)欄に、必要に応じてメッセージを入力します。
    AWSアカウント招待1.png
  • 必要に応じてタグの登録も行った後で、「招待を送信」ボタンをクリックします。
    AWSアカウント招待2.png

3. 招待される側でのアカウントでの承認作業

  • 招待される側のアカウントのE-mailアドレスに対して「Your AWS account has been invited to join an AWS organization」というタイトルのメールが届きます。メール本文内の「Accept invitation」ボタンをクリックします。
  • AWSコンソールへのログオン要求が行われますので、ログオンします。すると、下記のような画面が表示されます。
    AWSアカウント招待3.png
    *「招待を承認する」ボタンをクリックします。承認後、下記のような画面が表示されます。
    AWSアカウント招待4.png
  • その後、「Your AWS account has joined an AWS Organization」というタイトルのメールが届きます。

4. 管理アカウント側での組織単位(Organizational Unit)作成作業

  • 管理アカウント側のAWSアカウント画面において、「リスト」をクリックすると、手順3で招待したアカウントが表示されます。(そこの画面コピーの採取を失念してしまいました。)
  • 組織構造のRootのラジオボタンにチェックを入れ、「アクション」メニューを開き、組織単位の下にある「新規作成」をクリックします。
    AWS OU作成1.png
  • 下記のような画面が表示されるので、組織単位名に記入、必要に応じてタグの登録も行った後、「組織単位の作成」ボタンを押します。
    AWS OU作成2.png
  • 下記のような画面が表示され、作成した組織単位名(TestGroup)が表示されるのを確認します。
    AWS OU作成3.png

おわりに

今回はAWS Organizationsを使用して、アカウントの招待、組織単位の作成をしてみました。次回は、下記を実施してみる予定です。

  • 招待したアカウントを作成した組織単位に移動する。
  • SCP(サービス・コントロール・ポリシー)を作成し、作成したポリシーの稼働確認を行う。
2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?