[AWS Organizations]アカウントの所属OUを変更した際の影響範囲を調べる
AWS Organizations を使っている環境で、 「アカウントの所属OUを変更」した際の影響範囲を把握するための 確認事項を思いつく限り列挙してみます。
目次
- OUの各種ポリシーを確認
- Resource Access Manager のOUリソース共有を確認
- CloudFormation Stacksets の自動デプロイ・削除設定を確認
- ほか AWS Organizations 連携サービスの設定を確認
- おわりに
- 参考
OUの各種ポリシーを確認
OUには現在 4種類のポリシーを設定することが出来ます。
- サービスコントロールポリシー(SCP) :: AWS各サービスへのアクセス権限を統制します
- タグポリシー :: リソースへのタグ付けルールを敷設できます
- AIサービスのオプトアウトポリシー :: 一部の AWS機械学習サービスの使用を管理できます
- バックアップポリシー :: AWS Backup による リソースのバックアップ管理ができます
特に SCP を活用して統制を効かせていること多いと思います。 よくチェックしましょう。
移動元/移動先 OUの SCP付与状況、継承状況を確認、比較します。 異なる SCPが付与/継承されていると、移動後にワークロードに影響がでる可能性があります
Resource Access Manager のOUリソース共有を確認
AWS Resource Access Manager(RAM) は AWSのリソースをマルチアカウントに共有するためのサービスです。
RAMを使って Organizations の「組織全体」もしくは「特定OU」にリソースの共有を作成することが出来ます。
RAMコンソールの 自分が共有: プリンシパル
から
RAMによる OU単位の共有状況をチェックしましょう。
OU単位の共有リソースが合った場合、 アカウントのOU移動により共有リソースを利用できなくなる可能性があります。
必要であれば、移動先OU上でも共有リソースを使えるようにプリンシパルを追記しておきましょう。
CloudFormation Stacksets の自動デプロイ・削除設定を確認
CloudFormation(CFn) Stacksets の機能に「自動デプロイ」があります。
上図の 自動デプロイ・アカウント削除の動作
設定が OU移動時に影響を及ぼす可能性があります。
- 移動先OU に
自動デプロイ:有効
Stacksets があると、 アカウント移動後にそのスタックがデプロイされます - 移動元OU に
自動デプロイ:有効, アカウント削除の動作: 削除
Stacksets があると、 アカウント移動後にそのスタックが 削除 されます
移動先OU、移動元OUの StackSet デプロイ設定を確認して、 「デプロイされるスタック」「削除されるかもしれないスタック」把握しておきましょう。
※ 参考: OUにどの StackSet がデプロイされているか、 調査する際に役立つスクリプトを以下ブログに書いてみました
ほか AWS Organizations 連携サービスの設定を確認
以上、特に影響がありそうな要素を説明しました。
細かい部分ですが 「ほか Organizations 連携サービスで OU単位の設定をしているかどうか」 も確認しておきましょう。
AWS Organizations > 設定
から
Organizations連携サービス一覧を確認できます。
以下、影響がありそうな部分を抜粋します。
Systems Manager(SSM)
SSM周りの初期設定をサクッと実施できる Quick Setup(高速セットアップ) は Organizations 連携可能です。
上図のようにセットアップする対象の OUを選択可能です。 高速セットアップを適用している場合は、 この部分の設定を確認しましょう。
Service Catalog
OU単位でポートフォリオを共有することができます。
Service Catalog を活用している場合は ポートフォリオの共有設定を確認しましょう。
Firewall Manager
OUごとの制御が可能になっています。
利用している場合は Firewall Manager で適用しているセキュリティルールを確認しましょう。
おわりに
思いつく限り列挙してみました。
今後 Organizations 連携のアップデートなどで、 ほかサービスの設定項目も考慮する必要がでてくる可能性あります。
抜け漏れあればご指摘ください。
参考
- AWS Organizations
- CloudFormation
- Systems Manager
- Service Catalog
- Firewall Manager