Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@tetsuya_tech(Tetsuya Yasuki)

【SAP-C01試験対策】AWS Organizationsのまとめ

Last updated at Posted at 2021-12-25

はじめに

AWS SAP試験対策でAWS Organizationsについて学習したので、内容をまとめます。

背景

本記事はAWSソリューションアーキテクトプロフェッショナルに合格するために、Udemyの模擬試験を解いて分からなかった部分を勉強してまとめるものです。

試験対策用のため、分からない知識を補足したり試験で問われなさそうなところを省略したりしながらまとめています。
なるべくわかりやすい記載を心がけますが、最終目的は自己学習用であるということをご容赦ください。

マルチアカウント

  • 独立型のマルチアカウント:独立したアカウントを複数作成して管理する。または、組織の一括請求のみ利用して支払いを管理する。
  • 一元管理されたマルチアカウント:管理アカウントとメンバーアカウントから構成されるマルチアカウント
  • 管理アカウント(マスターアカウント):組織を作成するためのアカウント。リソース作成はしない。
  • メンバーアカウント:管理アカウントに紐づく複数のアカウント。リソース関連作業をする。

管理アカウントでできること

  • 組織にアカウントを作成、削除
  • 組織にアカウントを招待、招待の管理
  • 組織内のエンティティ(ルート、OU、アカウント)にポリシー(SCP)の適用
  • 支払の管理

アカウント分割の例

  • 管理アカウント
  • ログ用アカウント
  • 監査用アカウント
  • 開発用アカウント
  • 開発アカウント
  • テストアカウント
  • 本番アカウント

クロスアカウントアクセス(スイッチロール)

アカウント内のIAMユーザが他のアカウントのIAMロールを利用すること。

  • 管理アカウント→メンバーアカウント
  • メンバーアカウント→メンバーアカウント

AWS Organizations

アカウント管理のためのAWSサービス。

機能

  • 一括請求:請求のみまとめる機能
  • すべての機能:メンバーアカウントに対して権限の管理などができる機能

用語

  • 組織:管理アカウントが管理するアカウントたち。
  • 親:下層にアカウントたちを持つアカウント。
  • OU:親以下のアカウントたち
  • ルート:親にたどり着くまでの道のり

image.png

すべての機能の例

  1. SCP:組織を管理するためにアカウントにリソースへのアクセス許可、拒否を明示的に指定する。(明示的な拒否>明示的な許可>暗黙の拒否)
  2. タグポリシー:アカウント内のタグの使用方法に関するルールを定義できる。
  3. 組織の証跡:Cloudtrailで「組織の証跡」を有効にすることで全てのメンバーアカウントのイベントを記録することが可能。

試験対策

設問①:監査人がすべてのメンバーアカウントのAPIイベントを記録するログファイルにアクセスしたい

  • 管理アカウントのCloudtrailで「組織の証跡」を有効化し、メンバーアカウントのログを管理アカウントのS3バケットに配信し、監査人にはS3バケットへの読み取り権限のみを付与する。
  • 各メンバーアカウントでCloudtrailを有効化し、(以下同文)

設問②:管理アカウントからメンバーアカウントの権限でリソースを停止、削除、終了したい

  • 管理アカウントにIAMユーザを作成し、メンバーアカウントのクロスアカウントロールを作成したIAMユーザに付与する。

設問③:全メンバーアカウントでAWSリソースン大してタグを作成するよう規則化したい

  • 全メンバーアカウントをOUとし、タグポリシーを適用しタグの標準化をメンバーアカウントに強制する。ただし、タグ付けの強制はできない。

設問④:管理アカウントだが、OUからメンバーアカウントが削除できない。

  • メンバーアカウントの支払情報を登録し、独立できる状態にしたのちOUから削除する。

設問⑤:メンバーアカウントのAWSリソースへのアクセス許可、拒否を明示的に指定しつつ、コストも最適化したい

  • OUを設定しSCPをアタッチする
  • OU内のユーザー、ロールに対して個別でIAMポリシーを追加する

設問⑥:メンバーアカウント内への許可されていないサードパーティのアカウントの作成の早期発見、予防がしたい

  • AWS ConfigによりAWS Organizationsのコンプライアンス状況をモニタリングして変更に関する通知を設定する
  • Cloudtrailを利用してAWS Organizationsへの全APIコールをモニタリングし、通知を設定する。

設問⑦:Cloudtrailを全メンバーアカウントで有効化したい

  • AWS Organizationsのすべての機能を選択。管理アカウントでCloudtrailの「組織の証跡」の有効化。SCPでメンバーアカウントのCloudtrailの非有効化を拒否する。

##設問⑧ 各メンバーアカウントにて適切な権限管理をしたい。

  • OUを使用してアカウントをグループ化しSCPを設定。

  • OUのメンバーアカウント内のIAMユーザ単位に必要なクロスアカウントアクセスとIAMポリシー設定を付与する。

1
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?