内容
AWS OrganizationsとAWS CloudFormation StackSetsを活用することで、OU内の複数アカウントに一貫したリソースデプロイが可能です。本記事では、アカウントがOUから離脱または参加した際に、デプロイされたリソースの挙動を確認していきます。
シナリオ
- SwitchRole用のテンプレートを作成
- 1.で作成したCloudFormationをOUにStackSetsでデプロイ
- この状態で、OU内のアカウントをOU外に移動や、再度OU内へ移動したときの様子を確認
挙動を確認
CloudFormationのStackSetsでOUにデプロイ
CloudFormation StackSetsデプロイの様子
OU内のアカウントにSwich Role入れるか確認
OUにデプロイできたので、SwitchRoleをして確認する
アカウントIDと作ったSwitchRole用のRole名を入力し切り替える
スイッチロール後の画面
OU配下のアカウントのIAMロールの様子
ちゃんと、デプロイできてますね。
アカウントをStackSetsをOU外に移動
OU外に移動させたアカウントのIAMRoleを確認するとSwitchRole用のIAMロールが消えています。
再度、SwitchRoleをデプロイしたOUにアカウントを移動させる
→アカウントX内でCloudFormationの様子を確認すると、SwitchRoleのCloudFormationがデプロイされています。
まとめ
AWS CloudFormation スタックセットは、組織内の複数アカウントに対するリソース管理を大幅に簡素化できる。しかし、OU 間でアカウントを移動する際には、スタックセットによるリソースの自動作成・削除が行われるため、アカウントをOU外に移動させたときはリソースが影響が出ないか注意が必要です。