Organization unit (OU)でリソース共有してみた
この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちはオンジーです!
AWS Organizationsの組織単位(OU)でTransit Gatewayを共有してみました。
前提
構成としてはこんな感じです。
前提としてOrganizationsの初期設定(機能セットの選択)時に"All Feature"(すべての機能)を選択する必要があります。
こちらを有効にした際にマネジメントアカウントに下記のIAMロールが作成されます。これが必要になります。
AWSServiceRoleForResourceAccessManager
有効化
まずResource Access Managerのメニューより
Enable sharing with AWS Organizations (AWS Organizations との共有を有効にする)にチェックを入れて保存しておきます。
こちらはマネジメントアカウントでのみ有効化できます。
ちなみにメンバーアカウントからはこのように見えます。
リソース共有
続いてメンバーアカウント(test)でTransit Gatewayを作成しておきます。本記事では手順は割愛します。
Resource Access Managerのメニューよりリソース共有の作成に進みプリシパルのオプションでOUのIDを指定します。
ここで「外部アカウントの許可」はオンにしておく必要があります。
Organization unit (OU)ではなく組織(管理アカウントも含む)に共有する場合はオフでokです。
最後に作成ボタン押すと完成です。上記の「Enable sharing with AWS Organizations」の設定をしていないとこのタイミングでエラーが出て共有に失敗します。
もう一つのメンバーアカウント(test2)でTransit Gatewayが出てきました!
AWS Organizationsではない通常のクロスアカウント共有では下記ブログのような「承認」のプロセスがあるのですが今回のようにOU内(もしくは組織)での共有だとそれが省略されます!
