AWS SAP試験対策 #1
問題(ざっくり)
ある会社では、複数事業部が各自のAWSアカウントを持っています。すべてのAWSアカウントに対して、事業部ごとに費用を分類した単一のAWS請求書が必要です。また、この会社ではすべてのAWSアカウントに対して、サービスや機能を一元的に制限・管理する必要があります。ソリューションアーキテクトはどうすればいいですか?(手順2つ)
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
回答
①AWS Organizationsを使用してすべての機能を有効にした組織を管理アカウントで作成し、その組織にすべてのAWSアカウントを招待する。
②承認されたサービスと機能だけが許可されたSCPを作成し、そのポリシーをすべてのAWSアカウントに適用する。
要点解説
①AWS Organizationsの一括請求(コンソリデーティッドビリング)
→Organizationsを用いることで、複数アカウントの支払いを一括で行えるようになります。
※あくまでもOrganizationsとしての機能を用いるので、AWS Budgetsなど別のサービスを用いる必要はありません。
一括請求には次の利点があります。
- 1 つの請求書 – 複数のアカウントに対して 1 つの請求書を受け取るだけで済みます。
- 簡単な追跡 – 複数のアカウントでの料金を追跡し、コストと使用状況の統合データをダウンロードできます。
- 使用状況の結合 – 組織内のすべてのアカウントの使用量を結合し、料金のボリューム割引、リザーブドインスタンスの割引、および Savings Plans を共有できます。その結果、会社、部門、またはプロジェクトでの料金が個々のスタンドアロンアカウントと比較して低くなります。詳細については、「従量制割引」を参照してください。
- 追加料金なし – 一括請求は追加コストなしで提供されます。
メンバーアカウントが組織を離れた場合、そのメンバーアカウントは、組織にいたときに生成された Cost Explorer データにアクセスできなくなります。このデータは削除されず、組織の管理アカウントは引き続きデータにアクセスできます。再度組織に加わったメンバーアカウントは再びデータにアクセスできます。
また、Organizationsへの招待に関しては、管理アカウントから別のアカウントに対して 「メールアドレスを用いて」 行うことができる。(以下参照)
②承認されたサービスと機能だけが許可されたSCPを作成し、そのポリシーをすべてのAWSアカウントに適用する。
→SCP(サービスコントロールポリシー)を用いて、Organizationsの組織内にあるAWSアカウントの行動を一元的に制限・管理できます。
(※管理アカウントのユーザーやロールには影響しない)
サービスコントロールポリシー (SCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。SCP を使用すると、組織内の IAM ユーザーと IAM ロールが使用できる最大権限を一元管理できます。
SCP は、すべての機能が有効になっている 組織でのみ使用できます。組織が一括請求機能のみを有効にしている場合、SCP は使用できません。
※SCPはIAMユーザーやグループに権限を付与するわけではないです。あくまでもフィルターとして機能します。
したがって、SCPで記述した内容がIAMポリシーを上書きしたりすることはありません。ただし、SCPで拒否(Deny)されているものは、IAMポリシーで許可されていても拒否されるので注意が必要です。