目次
AWS Organizationsで、アカウントを追加・管理
目次
AWS Organizationsとは
AWS Organizationでできること
- 発音:オーガニゼーション
- 複数のアカウント管理
- 新規アカウントの追加が簡単にできます。
- 支払い方法は既存のアカウントのクレジットカード情報を利用できます。
- SCPを適用したアクセス制限の一括適用
- ID/パスワードを入力なしで、アカウントを切り替えられる(AssumeRole機能)
- この機能により、各アカウントで、ユーザを作成する必要がなくなる。
- アカウント切換えをしないことも可能
マルチアカウントによるメリット・デメリット
メリット
- 変更による影響範囲を限定できる
- アカウントごとに課金管理が可能
デメリット
- 設定が重複する
AWS Organizations用語
| AWS アカウント | |
| マスターアカウント | 親アカウント。組織で1つだけ。 マスターアカウントが他のアカウントを招待します。 |
| メンバーアカウント | 子アカウント |
| OU Organizational Unit 組織単位 | アカウントをグループ化します |
| サービスコントロールポリシー(SCP) | 組織のアクセス許可の管理に使用できる組織ポリシー 組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。 |
AWS Organizationsによるマルチアカウント設計
参考
クラウドワークスのマルチアカウント設計
DeNAのマルチアカウント設計
AWS Organizationsでできる、できないアカウント操作
できること
メンバーアカウントを組織から連結解除
メンバーアカウントを解約
できないこと
メンバーアカウントは他の組織のメンバーにはなれない
メンバーアカウントは他の組織のメンバーにはなれません。
まずは、組織から連結解除してから、新しい組織のメンバーになりましょう。
操作
AWSアカウントを追加
既存のAWSアカウントを招待ではなく、AWSアカウントを作成する場合
| AWS アカウント名 | ||
| アカウント所有者のEメールアドレス | ||
| IAMロール名 | OrganizationAccountAccessRole | このIAMロールを使用して、メンバーアカウントのリソースにアクセスできます |
ルートユーザのパスワード設定
AWS Organizationsで新しいアカウントを作成した場合、初期パスワードがないため、
復旧プロセスを行う必要があります。
- ログイン画面で、「ロートユーザーのEメールを使用したサインイン」を選択
- ルートユーザーのEメールアドレスを入力
- セキュリティチェック
- 「パスワードをお忘れですか?」を選択
- 再度、セキュリティチェックを行う
- Eメールが送信されます。
既存のAWSアカウントを招待する場合
招待するAWSアカウントのEメールアドレスかアカウントIDを入力し、「招待を送信」をクリックします。