4/22にSAAの試験を受けるためOrganizationsについて書き出して整理する
Organizationsでできること
・複数AWSアカウントの一元管理
・アカウントの新規作成を自動化
・請求の簡素化
機能セット
Consolidated Billing Only → 支払代行のみ
All Feature → 企業内でアカウント統制する
Organizationsで新規作成アカウントの初回ログイン方法
・ルートアカウントのパスワードリセット
・スイッチロール
・SSOなどのフェデレーションでログイン
アカウント作成時
AWSアカウントの作成時にIAMロールの指定が可能
※マスターアカウントから管理するロールは統一する方が運用上◎
サービスコントロールポリシー(SCP)
ポリシーは組織ルート、OU、アカウント単位で割り当て可能
階層構造に基づきSCPが継承される。
ポリシーの許可・拒否の機能について
許可はAND条件で反映
SCP・IAMポリシー・リソースポリシー全てで許可されている部分が実際に許可される範囲
拒否はSCPで拒否すればIAM・リソースポリシーで許可されていても全拒否
順位付
SCP/IAMポリシーで明示的に拒否 > IAMポリシーとSCPで許可 > 明示的拒否(デフォ)
ポリシーの方式
・ブラックリスト:禁止するポリシー
・ホワイトリスト:許可するポリシー
※ホワイトリストで管理する場合、デフォで割り当てられている全サービス許可のFullAWSAccessは削除要
Organizationsを活用したサービス
・SSO
-ADユーザにOrganizationsの組織内にあるAWSアカウントを対象にマネジメントコンソールへのSSOを提供
・CloudFormation
-Organizationsの組織単位を対象にして複数のAWSアカウントにまたがってデプロイ可能