ユーザ用ツール

サイト用ツール


aws:organizations:index.html

AWS Organizationsで、アカウントを追加・管理

AWS Organizationsとは

AWS Organizationでできること

  • 発音:オーガニゼーション
  • 複数のアカウント管理
  • 新規アカウントの追加が簡単にできます。
  • 支払い方法は既存のアカウントのクレジットカード情報を利用できます。
  • SCPを適用したアクセス制限の一括適用
  • ID/パスワードを入力なしで、アカウントを切り替えられる(AssumeRole機能
    • この機能により、各アカウントで、ユーザを作成する必要がなくなる。
    • アカウント切換えをしないことも可能


マルチアカウントによるメリット・デメリット

メリット

  • 変更による影響範囲を限定できる
  • アカウントごとに課金管理が可能

デメリット

  • 設定が重複する


AWS Organizations用語

AWS アカウント
マスターアカウント 親アカウント。組織で1つだけ。
マスターアカウントが他のアカウントを招待します。
メンバーアカウント 子アカウント
OU
Organizational Unit
組織単位
アカウントをグループ化します
サービスコントロールポリシー(SCP) 組織のアクセス許可の管理に使用できる組織ポリシー
組織のすべてのアカウントで使用可能な最大アクセス許可を一元的に制御できます。


AWS Organizationsによるマルチアカウント設計

参考

クラウドワークスのマルチアカウント設計

DeNAのマルチアカウント設計

AWS Organizationsでできる、できないアカウント操作

できること

メンバーアカウントを組織から連結解除
メンバーアカウントを解約

できないこと

メンバーアカウントは他の組織のメンバーにはなれない

メンバーアカウントは他の組織のメンバーにはなれません。
まずは、組織から連結解除してから、新しい組織のメンバーになりましょう。


操作

AWSアカウントを追加

既存のAWSアカウントを招待ではなく、AWSアカウントを作成する場合

AWS アカウント名
アカウント所有者のEメールアドレス
IAMロール名 OrganizationAccountAccessRole このIAMロールを使用して、メンバーアカウントのリソースにアクセスできます
ルートユーザのパスワード設定

AWS Organizationsで新しいアカウントを作成した場合、初期パスワードがないため、
復旧プロセスを行う必要があります。

  • ログイン画面で、「ロートユーザーのEメールを使用したサインイン」を選択
  • ルートユーザーのEメールアドレスを入力
  • セキュリティチェック
  • 「パスワードをお忘れですか?」を選択
  • 再度、セキュリティチェックを行う
  • Eメールが送信されます。


既存のAWSアカウントを招待する場合

招待するAWSアカウントのEメールアドレスかアカウントIDを入力し、「招待を送信」をクリックします。


参考

aws/organizations/index.html.txt · 最終更新: 2023/11/09 01:15 by kurihara

ページ用ツール