[AWS Organizations]アカウントの所属OUを変更した際の影響範囲を調べる

主に SCP/CFn StackSets
2020.12.01

img

AWS Organizations を使っている環境で、 「アカウントの所属OUを変更」した際の影響範囲を把握するための 確認事項を思いつく限り列挙してみます。

目次

  1. OUの各種ポリシーを確認
  2. Resource Access Manager のOUリソース共有を確認
  3. CloudFormation Stacksets の自動デプロイ・削除設定を確認
  4. ほか AWS Organizations 連携サービスの設定を確認
  5. おわりに
  6. 参考

OUの各種ポリシーを確認

OUには現在 4種類のポリシーを設定することが出来ます。

img

  • サービスコントロールポリシー(SCP) :: AWS各サービスへのアクセス権限を統制します
  • タグポリシー :: リソースへのタグ付けルールを敷設できます
  • AIサービスのオプトアウトポリシー :: 一部の AWS機械学習サービスの使用を管理できます
  • バックアップポリシー :: AWS Backup による リソースのバックアップ管理ができます

特に SCP を活用して統制を効かせていること多いと思います。 よくチェックしましょう。

移動元/移動先 OUの SCP付与状況、継承状況を確認、比較します。 異なる SCPが付与/継承されていると、移動後にワークロードに影響がでる可能性があります

Resource Access Manager のOUリソース共有を確認

AWS Resource Access Manager(RAM) は AWSのリソースをマルチアカウントに共有するためのサービスです。

RAMを使って Organizations の「組織全体」もしくは「特定OU」にリソースの共有を作成することが出来ます。

RAMコンソールの 自分が共有: プリンシパル から RAMによる OU単位の共有状況をチェックしましょう。

img

OU単位の共有リソースが合った場合、 アカウントのOU移動により共有リソースを利用できなくなる可能性があります。

必要であれば、移動先OU上でも共有リソースを使えるようにプリンシパルを追記しておきましょう。

CloudFormation Stacksets の自動デプロイ・削除設定を確認

CloudFormation(CFn) Stacksets の機能に「自動デプロイ」があります。

img

上図の 自動デプロイ・アカウント削除の動作 設定が OU移動時に影響を及ぼす可能性があります。

  • 移動先OU自動デプロイ:有効 Stacksets があると、 アカウント移動後にそのスタックがデプロイされます
  • 移動元OU自動デプロイ:有効, アカウント削除の動作: 削除 Stacksets があると、 アカウント移動後にそのスタックが 削除 されます

移動先OU、移動元OUの StackSet デプロイ設定を確認して、 「デプロイされるスタック」「削除されるかもしれないスタック」把握しておきましょう。

※ 参考: OUにどの StackSet がデプロイされているか、 調査する際に役立つスクリプトを以下ブログに書いてみました

ほか AWS Organizations 連携サービスの設定を確認

以上、特に影響がありそうな要素を説明しました。

細かい部分ですが 「ほか Organizations 連携サービスで OU単位の設定をしているかどうか」 も確認しておきましょう。

AWS Organizations > 設定 から Organizations連携サービス一覧を確認できます。

img

以下、影響がありそうな部分を抜粋します。

Systems Manager(SSM)

SSM周りの初期設定をサクッと実施できる Quick Setup(高速セットアップ) は Organizations 連携可能です。

img

上図のようにセットアップする対象の OUを選択可能です。 高速セットアップを適用している場合は、 この部分の設定を確認しましょう。

Service Catalog

OU単位でポートフォリオを共有することができます。

Service Catalog を活用している場合は ポートフォリオの共有設定を確認しましょう。

Firewall Manager

OUごとの制御が可能になっています。

利用している場合は Firewall Manager で適用しているセキュリティルールを確認しましょう。

おわりに

思いつく限り列挙してみました。

今後 Organizations 連携のアップデートなどで、 ほかサービスの設定項目も考慮する必要がでてくる可能性あります。

抜け漏れあればご指摘ください。

参考