はじめに
試験勉強した際のメモを自分用に記事化。
内容は公式やBlack Beltの写経ですので目新しいことはありません
公式
とはいえこの記事に迷いこんでしまった方もゼロではないと思うので公式のご紹介です。
AWS Organizations
実現できること
・複数のAWSアカウントを一元管理する
AWSアカウントをグループ化してポリシーを適用。利用サービスを制限する
・AWSアカウントの新規作成の自動化
コンソール、SDK、CLIでAWSアカウントを新規作成
・請求の簡素化
複数AWSアカウントの請求を一括で行う
AWS Organizationsの構成要素(用語)
AWSアカウント or アカウント
・AWS契約の単位でメールアドレスや12桁のIDで識別される
・AWSアカウント内ではIAMユーザ単位のアクセス制御などが行える
・AWS Organizationsで管理する最小単位
組織(Organization)
・AWS Organizationsで一元管理する対象の全体
・複数AWSアカウントのセット
マスターアカウント
AWS Organizations組織の全体を管理する権限を持つAWSアカウント
メンバーアカウント
組織内にあるマスターアカウント以外のAWSアカウント
組織単位(OU)
組織内にある複数AWSアカウントのグループ
管理用ルート(root)
組織単位(OU)階層の開始点
組織ポリシー
組織内で適用してAWSアカウントを管理する仕組み
サービス管理ポリシー(SCP)
・現在サポートされている唯一の組織ポリシーのタイプ
・利用できるAWSサービスとアクションを制御
AWS Organizationsの構成図
Black Beltから拝借です。超わかりやすい。
公式より。
機能セットの選択
利用開始する際に、機能セットを選択する。
Consolidated Billing Only(一括請求のみ)
・マスターアカウントへの一括請求が可能
・アカウントの新規作成、招待、削除が可能
・サービスコントロールポリシーによる一元管理が不可能
また、ボリュームディスカウントを統合できるため、コストメリットが発生する。
(各アカウントの総利用料をまとめてボリュームディスカウントに反映することができる)
リザーブドインスタンスによる割引がデフォルトで共有される。
All Feature(全ての機能)
・マスターアカウントへの一括請求が可能
・アカウントの新規作成、招待、削除が可能
・サービスコントロールポリシーによる一元管理が可能
支払い一括代行も含めて、企業内の複数アカウントを統制したい場合に選択する。
模擬試験で出たこと
・AWS OrganizationのSCP
有効化すると、デフォルトではFullAccessが付与される。
なので所属するメンバーアカウントのOUに対してFullAccess権限が付与される。
リザーブドインスタンスの共有
アカウントでリザーブドインスタンスの共有がONになっている場合、AWS Organizationsのメンバーアカウント間で共有できる。
一括請求でリザーブドインスタンスが共有される。
おわりに
EC2とかS3のリソースを集約できるのは模擬試験で初めてしりました。
また追記すると思います!
以上です。