この記事の目次
AWS Organizationsとは?
AWS Organizationsは、組織単位でAWSのアカウント管理を行うことのできるサービスです。組織内の複数のAWSアカウントを一元管理することができます。
AWS Organizationsを使うことで、予算・セキュリティ・コンプライアンスの条件を満たすアカウント管理を適切に行うことが可能です。また、アカウント毎の利用状況も管理できるため、AWSの利用料金を一括請求することも可能です。
AWS Organizationsの機能
組織のアカウントを自動的に作成したり、既存のAWSアカウントを組織に追加したりすることで、組織に設定しているポリシーを簡単に引き継ぐことができます。
AWS Ogranizationsを使うことで、AWSアカウントの数が多い組織でもポリシーのアタッチなどの管理が容易になります。
AWS Organizationsの利用料金
AWS Organizationsの利用料金は、通常のAWS利用料金のみとなり、追加の費用は必要ありません。
例えば、組織内のユーザーがAmazon EC2でWebサーバを構築して2時間程利用した場合は、サーバを起動していた2時間分のみ料金が発生します。
AWS Organizationsにアクセスするには
AWS Organizationsへのアクセス方法としてAWSマネジメントコンソール、AWSコマンドラインツール、AWS SDKs、AWS Organizations HTTPS クエリAPIの4つ方法があります。
下記でそれぞれの概要やアクセス方法を説明します。
AWSマネジメントコンソール
AWSマネジメントコンソールはAWSのさまざまなサービスを管理するためのブラウザ形式のインターフェースです。 AWS OrganizationsはAWSマネジメントコンソールにログインします。そこから「すべてのサービス」-「管理とガバナンス」からアクセスすることができます。AWSコマンドラインツール
AWSコマンドラインツールは各システム環境からコマンドを発行して、AWSの管理を行うことができます。 AWSマネジメントコンソールのGUI操作では難しい複雑な作業や、タスク実行のスクリプトなどを利用する場合に用いることができます。AWS SDKs
AWS SDKsは各プログラミング言語やプラットフォームなどに対応した開発キットです。 開発キット内のライブラリを用いることで、AWS Organizationsの操作を行うアプリケーションを開発することも可能です。AWS Organizations HTTPS クエリAPI
AWS Organizations HTTPS クエリAPIを利用すると、AWS OrganizationsへHTTPSリクエストを直接発行することができます。 HTTPS クエリAPIを使用することで、シンプルにアプリケーションを作成することが可能です。AWS Organizationsを使うには
AWS Organizationsを使うにはまず、組織を作成します。
組織を作成するには、組織の管理アカウントでAWSマネジメントコンソールにログインし、AWS Organizationsにアクセスしましょう。
AWS Organizationsにアクセスしたら「組織を作成する」を選択します。選択すると組織が作成され、管理者アカウントの通知先メールアドレスへ確認のメールが送られます。
メールに記載されている「Verify your email address」ボタンをクリックすることで組織の作成が完了し、他のアカウントを招待することが可能になります。
組織単位(OU)作成する
組織の作成を行い、アカウントの招待を行ったら次に複数の組織単位(OU)を作成し、それぞれにアカウントを割り振ります。 OUを作成するにはAWS Organizationsの画面の[アカウントの整理]タブから[+新規組織単位]を選択し、OUを入力して[組織単位の作成]を選択します。 次にメンバーアカウントをOUに移動します。アカウントを移動するには、左側ペインにあるツリーから[Root]を選択し、移動させるアカウントにチェックを入れて[移動]を選択します。それから移動先のOUを選択することでOUの移動が完了します。サービスコントロールポリシーを有効化する
OUの作成を行いアカウントを所属させることができたら次に、サービスコントロールポリシー(SCP)を有効化します。これによりOU単位でのアカウントコントロールが可能になります。 デフォルトではサービスコントロールポリシーは無効状態となっていますので、有効化する必要があります。AWS Organizations画面の[ポリシー]タブから[サービスコントロールポリシー]を選択し、[サービスコントロールポリシーを有効にする]ボタンを選択します。 ポリシーの有効化が完了するとデフォルトで[FullAWSAccess]というポリシーが作成された状態となります。サービスコントロールポリシーを作成する(サービス・アクション選択)
サービスコントロールポリシーの有効化ができたら、任意のポリシーを作成してみましょう。 例えば、 メンバーアカウントのAWS CloudTrailログの作成・変更を禁止するポリシーを作成するには、まずAWS Organizations画面の[ポリシー]タブを開き、[ポリシーの作成]を選択します。 ポリシー名欄には任意のポリシー名を入力します。(例えばBlock CloudTrail Configuration Actions) 画面下部のポリシー欄の左側に「1. サービスを選択して、アクションを追加します」となっている部分があるので、CloudTrailを選択します。 次に、以下のアクションを選択してチェックを入れていきます。AddTags、 CreateTrail 、 DeleteTrail 、 RemoveTags 、 StartLogging 、 StopLogging 、 UpdateTrailです。サービスコントロールポリシーの作成する(リソース追加)
アクションのチェックができたら、左側ペインの[2.リソースを追加する] を選択します。 AWSサービス:[CloudTrail]、ResourceType:[すべてのリソース]を指定して[リソースの追加]ボタンを選択します。サービスコントロールポリシーを作成する(確認)
リソースの追加を行ったら右側のサービスコントロールポリシーのコードを確認してみましょう。以下のようになっています。{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"cloudtrail:AddTags",
"cloudtrail:CreateTrail",
"cloudtrail:DeleteTrail",
"cloudtrail:RemoveTags",
"cloudtrail:StartLogging",
"cloudtrail:StopLogging",
"cloudtrail:UpdateTrail"
],
"Resource": [
"*"
]
}
]
}
確認ができたら[ポリシーの作成]ボタンを選択し、サービスコントロールポリシーの作成を完了させます。
サービスコントロールポリシーをOUにアタッチする
サービスコントロールポリシーが作成できたら、そのポリシーをOUにアタッチしてみましょう。 ポリシーをアタッチするには[アカウントの整理]タブでOUを選択し、右ペインから[サービスコントロールポリシー]を選択します。 使用できるサービスコントロールポリシーが表示されるので、アタッチしたいポリシーの右側の[アタッチ]を選択し、デタッチする場合は[デタッチ]を選択します。 これでOUに所属するアカウントに対してポリシーを適用することができました。AWS Organizationsについてのまとめ
今回はAWS Organizationsの概要や簡単な使い方について紹介させてもらいました。
組織内で複数のアカウントを使用するときはAWS Organizationsとサービスコントロールポリシーをうまく活用して、コントロールしていきましょう。]]>
