はじめに
前回記載した「AWSでマルチアカウント環境を実装してみた(①概要編)」の続きとなります。まずはOrganizationを有効化しないことには何も始まらないので、その手順を書いていきます。
全体構成
概要図はこんな感じです。今回はOU作成とメンバーアカウント追加までを記載します。主にマネジメント(管理)アカウントでログインしての作業となります。
対応手順
以下、対応手順を記載します。Organizationsコンソールは現時点では画面デザインが新しいものと古いものの両方を使えますが、今回は新しい方を使っていきます。
Organizations有効化
まずは管理アカウントへ管理者権限を持つユーザでログインします。
その後、メニューから「AWS Organizations」を選択し、表示されたページ内にある「組織の作成」ボタンをクリックします。これにより同アカウントでOrganizationsが有効になり、OU作成とメンバーアカウントの追加が可能になります。
組織単位(OU)の作成
左メニューの「AWSアカウント」をクリックすると、画面中央にOUが表示されます。初期状態はRoot1つのみです。
このRoot配下に新規OUを追加するため、画面内の「Root」にチェックを入れ、画面右の「アクション」から「組織単位 - 新規作成」を選択を選択します。
OUの名称の入力し、「組織単位の作成」をクリックします。ここでは日本語で「セキュリティOU」としました。
トップページに戻り、OUがRoot配下に追加されます。
同じ手順で必要なOUを追加していきます。最終的には以下の感じになりました。
メンバーアカウントのメールアドレス発行
今回有効化したOrganizationsにメンバーアカウントを追加するにあたり、メールアドレスが必要になるため取得しておきます。Gmailでも何でも構いませんが、AWSと直接関係しないため、ここではこの手順は割愛します。
メンバーアカウントの追加
Organizationsにメンバーアカウントを追加します。
まずは左メニューの「AWSアカウント」を押下し、その後、画面右の「AWSアカウントを追加」ボタンをクリックします。
ラジオボタンは「AWSアカウントを作成」を選択します。AWSアカウント名は任意ですが、一度入れたらコンソール上からは変えられないようなので分かりやすい名前を入力しておきます。メールアドレスは上記で取得したものを入力します。「IAMロール名」はデフォルトのまま変更不要です。
追加された結果は以下の通りです。少しわかりづらいですが、画面の一番下に追加されています。
メンバーアカウントの移動
追加したメンバーアカウントをOUの中へ移動します。対象のアカウントをチェックして、「アクション - AWSアカウント - 移動」を選択します。
OUの一覧が表示されるので、移動先のOUのラジオボタンをONにして「AWSアカウントを移動」をクリックします。
無事移動されました。
追加したアカウントへのスイッチ
今回の手順で作成したメンバーアカウントにはまだログイン用のIAMユーザが存在しないので、スイッチして作成する必要があります。
Organizationsへ追加したアカウントには、管理アカウントからスイッチ(ログイン)できるので、その手順について説明します。
まずは右上のアカウント名をクリックし、「ロールの切り替え」を選択します。
ロールの切り替え画面が表示されるので、必要事項を入力していきます。
「アカウント」には切替対象のアカウントIDを入力します。「ロール」には「OrganizationAccountAccessRole」を入力します。
※Organizationsへのメンバアカウント追加時にデフォルトのロール名から変更していた場合は、変更後の名称を入力します。
メンバーアカウントへのスイッチが完了しました。
この後IAMコンソールからユーザの作成など行いますが、ここではその手順は割愛します。
最後に
今回はOU作成とメンバーアカウント追加までを記載しました。メンバの数が多くなればCLIで作業した方が早いと思いますので、その手順は別途記事にできればと思います。
次回はCloudTrailの設定方法を解説する予定です。
今回の記事が誰かのお役に立てると幸いです。