おひとり様AWS Organizations入門：メンバーアカウント作成とIAM Identity Centerによるログイン設定

はじめに

ほうき星です。

これまで個人では1つの AWS アカウントを使っていましたが、学習用の検証リソースや、常時稼働させているリソースが増えてきました。
その中で「そろそろアカウントを分けて整理したいな」と思い、AWS Organizations を試してみることにしました。

今回は Organizations でメンバーアカウントを作成し、IAM Identity Center を使ってログインできるようにした手順を、備忘録も兼ねてまとめます。

AWS Organizations とは

AWS Organizations は、複数のAWS アカウントを一元管理するためのサービスです。
企業で部門ごとにアカウントを分ける場合や、個人でも用途ごとにアカウントを整理したい場合に便利で、以下のようなことができます。

• 複数のメンバーアカウントの一元管理
• 請求の一元化とそれによる組織全体でのコスト把握、削減
• 組織単位(OU)でのメンバーアカウントのグループ化
• SCPを使用したOU毎の制限

IAM Identity Center とは

IAM Identity Center は、複数アカウントでのユーザー管理を効率化するサービスです。各アカウントに個別にIAM ユーザーを作成する手間をなくし、統一的に認証・認可を行えます。

おひとり様 AWS Organizations に入門する

今回作成する、おひとり様 AWS Organizations の構成は以下です。

AWS Organizations の設定

組織の作成

1. 管理アカウントとするAWS アカウントでAWS Organizations のマネジメントコンソールを開き、組織を作成するを押下します
   

2. 組織を作成したアカウントが管理アカウントになる旨を承諾し、組織を作成します
   

メンバーアカウントのための一元化されたルートアクセスの設定

メンバーアカウントのための一元化されたルートアクセスより、ルート認証情報管理とメンバーアカウントでの特権ルートアクションを有効化します。
特にルート認証情報管理はメンバーアカウントの作成時に、rootユーザーの認証情報無しで作成することができるようになりますので、忘れずに有効化しましょう。

1. 組織を作成できると、メンバーアカウントのルートアクセスを一元化が通知されているのでIAMで有効にするを押下します
   ※通知が表示されていない場合はIAMのマネジメントコンソールから設定できます。
   

2. 有効化を押下
   

3. ルート認証情報管理とメンバーアカウントでの特権ルートアクションにチェックが入っていることを確認し、有効化します
   

4. 設定が有効になりました
   

組織単位(OU)の作成

作成した組織に組織単位(OU)を作成します

1. AWS Organizationsのマネジメントコンソールを開き、Rootを選択しアクション > 新規作成を押下します
   

2. 今回はDevという組織単位(OU)を区切り、組織単位の作成で作成します
   

3. Devという組織単位(OU)が作成できました
   

メンバーアカウントの作成

作成した組織にメンバーアカウントを新しく作成します

1. AWS Organizationsのマネジメントコンソールを開き、AWS アカウントを追加を押下します
   

2. アカウント名とメールアドレスを入力しAWS アカウントを作成します
   

3. 5分程度でアカウントがRoot直下に追加されます
   

組織単位(OU)への割り当て

作成したメンバーアカウントを組織単位(OU)に割り当てます

1. 作成したメンバーアカウントを選択し、アクション > 移動します
   

2. 移動先のOUを選択し、AWS アカウントを移動します
   

3. これで組織単位(OU)：Dev配下のアカウントになりました
   

IAM Identity Center の設定

IAM Identity Center を有効化し、メンバーアカウントへのログインを一元的に行えるようにします。

有効化

1. IAM Identity Center のマネジメントコンソールを開き、有効にするを押下します
   

2. IAM Identity Center は一つのリージョンでしか有効化できないため、適切なリージョンで有効化しようとしているか？の確認があります
   

MFAの設定

1. 有効化が完了するとダッシュボードが表示されます、下段のIAM Identity Center セットアップからMFA を設定します
   

2. サインイン時に MFA デバイスを登録するように要求するを選択し、変更を保存します
   

グループの作成

1. IAM Identity Center > グループ > グループを作成します
   

2. 今回はAdministratorGroupを作成しました
   

許可セットの作成

1. IAM Identiy Center > 許可セットにて許可セットを作成します
   

2. 許可セットのタイプとして事前定義された許可セットの中からAdministratorAccessを今回は選び次へ
   

3. 許可セット名もAdministratorAccessとして次へを押下
   

4. 最終確認をして作成します
   

5. 同様にReadOnlyAccessな許可セットも作成しておきます
   

AWS アカウントとグループ・許可セットとの紐づけ

1. IAM Identiy Center > AWS アカウントにてオーガニゼーション内のアカウントを選択し、ユーザーまたはグループを割り当てします
   

2. 先ほど作成したAdministratorGroupを選択し次へ
   

3. 作成した許可セット(AdministratorAccessとReadOnlyAccess)を選択し割り当てます
   

4. 割り当てが完了すると、各メンバーアカウントにどの許可セットが割り当てられているかを確認できます
   

   また該当のグループを確認することで、どのメンバーアカウントにアクセスできるのかを確認する事ができます
   

ユーザーの作成

AdministratorGroupにユーザーを作成し、各メンバーアカウントアカウントにIdentity Centerでログインできることを確認します

1. IAM Identity Center > ユーザーよりユーザーを追加します
   

2. 追加するユーザの情報を入力し次へ
   

3. ユーザーを追加するグループを選択し次へ
   

4. 最終確認を行いユーザーを追加すると、ユーザー一覧で作成したユーザーを確認できます
   

5. 作成する際に指定したメールアドレスへアクティベーションメールが届くので、Accept invitationします
   

6. パスワードの設定と初回ログイン時にMFAの設定を行います
   
   

メンバーアカウントへのログイン

1. AWS Identity Centerへログインできると、設定した許可ポリシーで各メンバーアカウントにログインするためのポータルが表示されます
   

   各メンバーアカウントにログインし、許可ポリシーの範囲で操作できることを確認できれば設定は完了です

さいごに

この記事ではAWS Organizations を使用したメンバーアカウントの作成と、IAM Identity Center を使用したメンバーアカウントへの一元的なログインの設定を紹介しました。

実際の業務において、AWS Organizations やIAM Identity Center を触る機会があるポジションにいることはあまりないのではと思います。
皆さんもおひとり様AWS Organizations に入門して触ってみてはいかがでしょうか？