目次

AWS Organizationsで、アカウントを追加・管理



AWS Organizationsとは

AWS Organizationでできること


マルチアカウントによるメリット・デメリット

メリット

デメリット


AWS Organizations用語

AWS アカウント
マスターアカウント 親アカウント。組織で1つだけ。
マスターアカウントが他のアカウントを招待します。
メンバーアカウント 子アカウント
OU
Organizational Unit
組織単位
アカウントをグループ化します
サービスコントロールポリシー(SCP) 組織のアクセス許可の管理に使用できる組織ポリシー
組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。


AWS Organizationsによるマルチアカウント設計

参考

クラウドワークスのマルチアカウント設計


DeNAのマルチアカウント設計

DeNA の AWS アカウント管理とセキュリティ監査自動化


AWS Organizationsでできる、できないアカウント操作

できること

メンバーアカウントを組織から連結解除
メンバーアカウントを解約

できないこと

メンバーアカウントは他の組織のメンバーにはなれない

メンバーアカウントは他の組織のメンバーにはなれません。
まずは、組織から連結解除してから、新しい組織のメンバーになりましょう。


操作

AWSアカウントを追加

既存のAWSアカウントを招待ではなく、AWSアカウントを作成する場合

AWS アカウント名
アカウント所有者のEメールアドレス
IAMロール名 OrganizationAccountAccessRole このIAMロールを使用して、メンバーアカウントのリソースにアクセスできます
ルートユーザのパスワード設定

AWS Organizationsで新しいアカウントを作成した場合、初期パスワードがないため、
復旧プロセスを行う必要があります。


既存のAWSアカウントを招待する場合

招待するAWSアカウントのEメールアドレスかアカウントIDを入力し、「招待を送信」をクリックします。


参考

DeNA の AWS アカウント管理とセキュリティ監査自動化 from DeNA

ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜 from Mamoru Ohashi

SID331_Architecting Security and Governance Across a Multi-Account Strategy from Amazon Web Services