「Innovation Sandbox on AWS で作るサンドボックス環境」 というタイトルでクラメソさっぽろIT勉強会 (仮) #13 で登壇しました #cm_sapporo_study
札幌オフィスの中川です。
2026/05/22 に開催された「クラメソさっぽろIT勉強会 (仮) #13 ウルトラLT大会」にて、「Innovation Sandbox on AWS で作るサンドボックス環境」というタイトルで登壇しました。
登壇資料
発表スライドはこちらになります。
登壇内容
「Bedrock を触ってみたい」「生成AIワークショップをやりたい」「ハッカソンで使う AWS アカウントが欲しい」 — こんな声、聞きませんか?
ただ、AWS アカウントの払い出しの作業、コストの垂れ流し、後片付けなど、検証アカウントの運用は地味に負荷が積み重なります。これを丸ごと自動化してくれる AWS 公式ソリューションがあります。
Innovation Sandbox on AWS は2025年5月に公開された AWS 公式ソリューションです。検証用 AWS アカウントを使い捨てるのではなく、貸し出し → 全削除 → 再利用 のサイクルで回すための仕組みです。主に以下を自動化します。
- 予算管理(ユーザーごとに予算・期間を決めて貸し出し)
- アカウントのクリーンアップ(AWS Nuke でリソース全削除)
利用者は リース という形で管理者に申請します。
申請画面には Select lease template とあるとおり、リースは管理者が事前に用意したリーステンプレートをユーザーが選ぶ形になっています。
テンプレートには期間や予算の上限、承認要否などの貸し出し条件が定義されています。
用途別に複数のテンプレートを用意しておくと、運用がしやすくなりそうです。
アカウントの状態は7つの OU で管理されます。リース申請から後片付けまで、状態が変わるたびにアカウントは別の OU に移動します。
| OU | 役割 |
|---|---|
| Entry | アカウント登録直後 |
| Available | リース待ち |
| Active | リース中 |
| Frozen | 閾値到達で一時停止 |
| CleanUp | Nuke による後片付け中 |
| Quarantine | 後片付け失敗 |
| Exit | Innovation Sandbox から除外 |
OU ごとに適用される SCP の組み合わせが変わり、状態に応じて操作範囲が制限されます。ユーザーが IAM Identity Center 経由で触れるのは Active のみで、他の OU は SCP やアクセス無効化で守られます。リース中に作ったリソースは、CleanUp に入ると AWS Nuke の専用ロール以外は触れない設計です。
予算や期間が閾値(例:80〜90%)に達するとアカウントは Frozen に入って一時停止します。リソースは残ったまま、管理者の判断を待ちます。
AWS Nuke がリソースを全削除し、アカウントは Available に戻って次の人へ。これが「リサイクル」の中身です。
3つのトリガー(OR)でリース終了します。どれが起きても CleanUp に入る挙動は同じです。
ドキュメントの CloudFormation テンプレートを順番に流します。
月額は公式値で約65 USD、個人で試した環境では約 25 USDほどで稼働しています。(CloudWatch Alarm と AWS WAF が主な利用費です)
ドキュメント:Deploy the solution
aws-nuke のカスタマイズ、SCP の更新、予算閾値の設定については事前に押さえておきたいポイントです。
初めて CleanUp 動かした際は、以下のようなリソースでクリーンアップで削除失敗が多発しました。
- 管理用の IAMロール
- 組織レベルの CloudTrail / Security Hub
- デフォルトVPC関連(VPC・DHCP・IGW)
- ObjectLock 付き S3 バケット(CloudTrail用)
これらは AppConfig の Nuke 設定(スライド右の YAML)で除外ルールを書けば対応できます。一度書けば以降の CleanUp 処理で適用されるので、初期セットアップ時に整備するのがおすすめです。
Innovation Sandbox は AWSアカウントを使い回すための公式ソリューション。リース × ライフサイクル × Nuke で、検証アカウントの払い出し・回収・後片付けを自動化できます。
興味を持った方はぜひ触ってみてください。
