この記事の目次
AWS Organizationsとは?

AWS Organizationsの機能

AWS Organizationsの利用料金

AWS Organizationsにアクセスするには

AWSマネジメントコンソール
AWSマネジメントコンソールはAWSのさまざまなサービスを管理するためのブラウザ形式のインターフェースです。 AWS OrganizationsはAWSマネジメントコンソールにログインします。そこから「すべてのサービス」-「管理とガバナンス」からアクセスすることができます。AWSコマンドラインツール
AWSコマンドラインツールは各システム環境からコマンドを発行して、AWSの管理を行うことができます。 AWSマネジメントコンソールのGUI操作では難しい複雑な作業や、タスク実行のスクリプトなどを利用する場合に用いることができます。AWS SDKs
AWS SDKsは各プログラミング言語やプラットフォームなどに対応した開発キットです。 開発キット内のライブラリを用いることで、AWS Organizationsの操作を行うアプリケーションを開発することも可能です。AWS Organizations HTTPS クエリAPI
AWS Organizations HTTPS クエリAPIを利用すると、AWS OrganizationsへHTTPSリクエストを直接発行することができます。 HTTPS クエリAPIを使用することで、シンプルにアプリケーションを作成することが可能です。AWS Organizationsを使うには

組織単位(OU)作成する
組織の作成を行い、アカウントの招待を行ったら次に複数の組織単位(OU)を作成し、それぞれにアカウントを割り振ります。 OUを作成するにはAWS Organizationsの画面の[アカウントの整理]タブから[+新規組織単位]を選択し、OUを入力して[組織単位の作成]を選択します。 次にメンバーアカウントをOUに移動します。アカウントを移動するには、左側ペインにあるツリーから[Root]を選択し、移動させるアカウントにチェックを入れて[移動]を選択します。それから移動先のOUを選択することでOUの移動が完了します。サービスコントロールポリシーを有効化する
OUの作成を行いアカウントを所属させることができたら次に、サービスコントロールポリシー(SCP)を有効化します。これによりOU単位でのアカウントコントロールが可能になります。 デフォルトではサービスコントロールポリシーは無効状態となっていますので、有効化する必要があります。AWS Organizations画面の[ポリシー]タブから[サービスコントロールポリシー]を選択し、[サービスコントロールポリシーを有効にする]ボタンを選択します。 ポリシーの有効化が完了するとデフォルトで[FullAWSAccess]というポリシーが作成された状態となります。サービスコントロールポリシーを作成する(サービス・アクション選択)
サービスコントロールポリシーの有効化ができたら、任意のポリシーを作成してみましょう。 例えば、 メンバーアカウントのAWS CloudTrailログの作成・変更を禁止するポリシーを作成するには、まずAWS Organizations画面の[ポリシー]タブを開き、[ポリシーの作成]を選択します。 ポリシー名欄には任意のポリシー名を入力します。(例えばBlock CloudTrail Configuration Actions) 画面下部のポリシー欄の左側に「1. サービスを選択して、アクションを追加します」となっている部分があるので、CloudTrailを選択します。 次に、以下のアクションを選択してチェックを入れていきます。AddTags、 CreateTrail 、 DeleteTrail 、 RemoveTags 、 StartLogging 、 StopLogging 、 UpdateTrailです。サービスコントロールポリシーの作成する(リソース追加)
アクションのチェックができたら、左側ペインの[2.リソースを追加する] を選択します。 AWSサービス:[CloudTrail]、ResourceType:[すべてのリソース]を指定して[リソースの追加]ボタンを選択します。サービスコントロールポリシーを作成する(確認)
リソースの追加を行ったら右側のサービスコントロールポリシーのコードを確認してみましょう。以下のようになっています。{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "cloudtrail:AddTags", "cloudtrail:CreateTrail", "cloudtrail:DeleteTrail", "cloudtrail:RemoveTags", "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:UpdateTrail" ], "Resource": [ "*" ] } ] }確認ができたら[ポリシーの作成]ボタンを選択し、サービスコントロールポリシーの作成を完了させます。
サービスコントロールポリシーをOUにアタッチする
サービスコントロールポリシーが作成できたら、そのポリシーをOUにアタッチしてみましょう。 ポリシーをアタッチするには[アカウントの整理]タブでOUを選択し、右ペインから[サービスコントロールポリシー]を選択します。 使用できるサービスコントロールポリシーが表示されるので、アタッチしたいポリシーの右側の[アタッチ]を選択し、デタッチする場合は[デタッチ]を選択します。 これでOUに所属するアカウントに対してポリシーを適用することができました。AWS Organizationsについてのまとめ

この記事の監修者・著者

-
未経験からITエンジニアへのキャリアチェンジを支援するサイト「キャリアチェンジアカデミー」を運営。これまで4500人以上のITエンジニアを未経験から育成・排出してきました。
・AWS、salesforce、LPICの合計認定資格取得件数:2100以上(2023年6月時点)
・AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
最新の投稿
- 2023年11月21日キャリア・転職ITエンジニアへのキャリアチェンジに多い理由は?
- 2023年11月20日キャリア・転職フリーターからの就職でおすすめの職業は?
- 2023年11月20日キャリア・転職経理へのキャリアチェンジ転職・志望動機は?
- 2023年11月20日キャリア・転職法務からのキャリアチェンジおすすめの業界は?