0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@tadokoro88

クレジット付きアカウントを AWS Organizations に統合したい

0
Posted at

IAM Identity Center を設定する中で、AWS Organizations を利用してマルチアカウント運用にしようと考えました。

ちょうどクレジット付きの AWS アカウントを持っていたため、
「このアカウントをそのまま Organizations に入れて使えないだろうか」と考えたのがきっかけです。

既存アカウントを AWS Organizations に統合すること自体は可能です。
しかし実際には、いくつか設計上の注意点があります。

今回はそのポイントを整理してみます。

1. AWS Organizations とアカウント追加方法

AWS Organizations とは

AWS Organizations は、複数の AWS アカウントを一元的に管理するためのサービスです。

  • アカウントの作成・整理
  • SCP (Service Control Policy) の適用
  • 統合請求 (Consolidated Billing)
  • 組織単位 (OU) での管理

マルチアカウント運用を行うのであれば、まず有効化することになるサービスです。

アカウントの追加方法

Organizations にアカウントを追加する方法は大きく 2 つあります。

新規作成

管理アカウントから新しい AWS アカウントを作成します。

  • アカウント名
  • メールアドレス
  • IAM ロール名

を入力するだけで作成可能です。

この方法の特徴は、「まっさらな状態」でアカウントを用意できることです。

既存アカウント統合

既存の AWS アカウントを招待し、Organizations に参加させる方法です。

既存アカウント側で招待を承認すると、メンバーアカウントとして統合されます。

2. 既存アカウント統合の注意点

既存アカウントを統合する場合、「そのアカウントがどのような状態か」を考慮する必要があります。

アカウントはクリーンとは限らない

既存アカウントは、これまでの利用履歴をそのまま引き継ぎます。

例えば以下のような点です。

  • IAM ユーザーやロールが残っている
  • 課金リソースが稼働している
  • ルートユーザーの設定状態
  • サポートプランの契約状況
  • 既存の RI や Savings Plans

統合後もそれらはそのまま存在します。

もし何らかの問題 (過剰な権限設定や意図しないリソースなど) があれば、
Organizations に入れることで管理範囲が広がり、影響範囲も広がる可能性があります。

このような理由から、特に管理アカウントや本番用途では、アカウントの新規作成が推奨されることが多いです。

クレジットと請求

今回の主題です。

既存アカウントを統合すると、統合請求 (Consolidated Billing) が有効になります。

  • 支払いは管理アカウントに集約される
  • メンバーアカウント側のクレジットカードは参照されなくなる

では、メンバーアカウントに付与されていたクレジットはどうなるのでしょうか。

クレジットはアカウント単位で付与されています。
そのため、統合しても管理アカウントへ移動することはありません。

メンバーアカウントの利用料金から、まずそのアカウントのクレジットが差し引かれ、残額のみが管理アカウントへ集約されます。

具体例

  • アカウント A:$100 のクレジットあり
  • アカウント B:クレジットなし
  • 両アカウントとも $50 利用

この場合、

  • A はクレジットで相殺 → $0
  • B は $50 発生

結果として、管理アカウントへの請求は $50 となります。

つまり、クレジットはそのアカウント内でしか使えない ということです。

アカウント構造を変更しても、クレジットを横断的に使うことはできない点に注意が必要です。

3. 現実的な設計

安全にマルチアカウント運用をしたい。
しかし既存クレジットも活用したい。

その場合の現実的な選択肢としては、

  • 管理アカウントは新規作成
  • 本番アカウントも新規作成
  • クレジット付き既存アカウントは検証・開発用途に統合

といった構成が考えられます。

また既存アカウントを統合する場合は、ルートユーザー設定の見直しや不要な IAM ユーザー削除など、一度クリーンアップを実施しておくとよいでしょう。

まとめ

既存アカウントの統合は可能です。
しかし、以下のポイントを理解した上で設計判断する必要があります。

  • アカウントのクリーン度
  • 既存リソース
  • クレジットの扱い
  • 請求の仕組み

マルチアカウントは強力ですが、小さな構造の選択が後から効いてきます。

運用・コスト・セキュリティのバランスを取りながら、最適な構成を考えていきたいものです。

今日も小さな学びを。

IAM Identity Center (& AWS Organizations) 関連記事

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?