AWS Organizationsとは
- 複数のAWSアカウントを一元的に管理するためのサービス
- 請求をまとめる ⇒ EC2などの割引適用
- 組織(OU)内のアカウントをグループ化できる
- OUの入れ子構造も可
- 1つのマスターアカウントと複数のメンバーアカウントからなる
- メンバーアカウントは一つのOUにしか所属できない
SCP(サービスコントロールポリシー)
- ホワイトリスト or ブラックリストのIAMアクションを設定できる
- S3へのアクセス許可、Lambdaへアクセス禁止 等
- デフォルトでは何も許可しない
- OU、アカウントレベルでの適用(マスターアカウントには適用されない)
- 子OUは親OUのSCPを引き継ぐ
- 親以上のOUに拒否設定があった場合、個別アカウントに許可設定があっても、許可されない