0.はじめに
この記事はAWS SAA試験勉強のための、AWS OrganizationsのSCPに関する知識のまとめです。
1.AWS Organizationsとは
AWS Organizations とは、ユーザーが作成して一元管理する組織に、複数の AWS アカウント を統合するためのアカウント管理サービスです。
AWS OrganizationsにおいてAWS IAM Identity Centerを適用することで、複数のAWSアカウントを統合して、シングルサインオンの仕組みを導入することができます。
AWS Organizationsを利用して、IDフェデレーション機能を作成して各メンバーアカウントとOU(Organizational Unit, 組織単位)を結びつけるといった設定はありません。
2.一括請求(Consolidated Billing)
一括請求を使用すると、すべてのアカウントで発生した料金をまとめて確認できるだけでなく、それぞれのアカウントのサービス使用量を集約し、EC2やS3の従量制割引などの料金面の恩恵を受けることができます。
3.AWS OrganizationsのSCP
3.1.SCPとは
-
AWS OrganizationsのSCP(Service control policy)は、ルートアカウント単位で組織を管理するためのポリシータイプです。SCP は組織内のすべてのAWSルートアカウント(メンバーアカウント)が利用可能なアクセス権限を一元的に管理できる機能を提供します。
-
AWS OrganizationsのSCPを有効化すると、デフォルトでメンバーアカウントが属するOUに対して「FullAWSAccess」が付与されます。
-
AWS OrganizationsではSCPを利用してAWSリソースへのアカウント毎のアクセス許可・拒否を設定することができますが、IAMポリシーと比較して開発向けインスタンス以外へのアクセスを管理するといった細かい設定はできません。
-
SCPには、ホワイトリスト形式とブラックリスト形式のいずれも設定が可能。
3.2. SCPの例
次のポリシーは、特定のアカウントまたはOUに対して、すべてのAWSサービスの使用を禁止します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAll",
"Effect": "Deny",
"Action": "*",
"Resource": "*"
}
]
}
3.3 OUとSCP
AWS Organizationsを使って、開発チームごとに異なる組織単位(OU)を作成する。それぞれのOUに対してコストとリソース使用を管理するサービスコントロールポリシー(SCP)を適用する、というのはよくある組み合わせです。
3.4.注意
SAP社が提供するPaaSの「SAP Cloud Platform」の略称もSCPなので混同しないようにしましょう。
サーバ間でファイルの送受信を行うためのコマンドであるSCPコマンドとも別物です。
4.AWS Control Tower
AWS Control TowerはAWS Organizationsと連携して複数アカウントに対してランディングゾーン(事前設定された安全な環境)の設定を自動化するサービス。
4.1.ガードレール(コントロール)
ガードレールを用いることで、特定のリージョン以外の使用を禁止したり、VPCをインターネットから隔離するといった設定が可能です。