AWS Organizationsにより複数AWSアカウントがある場合にそれらを一元管理することができます。
ざっくり、各アカウントの請求を一括支払いしたり、サービスコントロールポリシー (SCP)によりアカウントへのアクセスを制限することが可能です。
構成イメージ
アカウントAを管理アカウントとしてRoot(OU)に所属させます。
Root(OU)配下に「test-ou-1」というOUを作成し、アカウントBをメンバーアカウントとして所属させます。
手順の流れ
以下の流れで実装します。
1.【アカウントA】AWS Organizationで組織の作成
2.【アカウントA】組織にアカウントBを招待する
3.【アカウントB】招待を承諾し組織に参加する
4.【アカウントA】子OUを作成しアカウントBを所属させる
1. 【アカウントA】AWS Organizationで組織の作成
アカウントAのAWS Oraganizationから組織を作成していきます。
なんと1クリックで作成が完了します。
2.【アカウントA】組織にアカウントBを招待する
作成した組織にアカウントBを招待していきます。
アカントの追加方法として「新規アカウント作成して追加」と「既存アカウントを追加」で選ぶことができますが、今回追加するアカウントBは既にあるので「既存のAWアカウントを招待」を選択します。
招待するアカウントのIDまたはメールアドレスを入力し、招待を送信します。
3.【アカウントB】招待を承諾し組織に参加する
アカウントBを登録しているメールアドレス宛に招待メールが届いているので「Accept invitation」を押します。
するとアカウントBのAWSコンソール画面にログインし、下記画面が表示されるので
招待を承認します。
4.【アカウントA】子OUを作成しアカウントBを所属させる
アカウントAのOrganizationを確認するとアカウントBが登録されていることが確認できます。
そこからRootにチェックを入れアクションから新規作成をします。
組織単位名を「test-ou-1」にして組織を作成します。
「test-ou-1」作成後、アカウントBをチェックしアクションから移動を選択します。
移動先として「test-ou-1」を選択し移動させます。
アカウントBがtest-ou-1配下に移動されました。
いったん組織を作成しアカウントを登録するところまで完了したので次回以降はSCPの適用や
Cloudtrailによる証跡の取得等、AWS Organizationsでできることを検証していきます。
コメント