Organization unit (OU)でリソース共有してみた

AWS OrganizationsでResource Access Managerを使ったリソース共有をする際にちょっとしたステップが必要だったので記事にしました。
2021.01.31

こんにちはオンジーです!

AWS Organizationsの組織単位(OU)でTransit Gatewayを共有してみました。

前提

構成としてはこんな感じです。

前提としてOrganizationsの初期設定(機能セットの選択)時に"All Feature"(すべての機能)を選択する必要があります。

こちらを有効にした際にマネジメントアカウントに下記のIAMロールが作成されます。これが必要になります。

AWSServiceRoleForResourceAccessManager

有効化

まずResource Access Managerのメニューより

Enable sharing with AWS Organizations (AWS Organizations との共有を有効にする)にチェックを入れて保存しておきます。

こちらはマネジメントアカウントでのみ有効化できます。

ちなみにメンバーアカウントからはこのように見えます。

リソース共有

続いてメンバーアカウント(test)でTransit Gatewayを作成しておきます。本記事では手順は割愛します。

Resource Access Managerのメニューよりリソース共有の作成に進みプリシパルのオプションでOUのIDを指定します。

ここで「外部アカウントの許可」はオンにしておく必要があります。

Organization unit (OU)ではなく組織(管理アカウントも含む)に共有する場合はオフでokです。

最後に作成ボタン押すと完成です。上記の「Enable sharing with AWS Organizations」の設定をしていないとこのタイミングでエラーが出て共有に失敗します。

もう一つのメンバーアカウント(test2)でTransit Gatewayが出てきました!

AWS Organizationsではない通常のクロスアカウント共有では下記ブログのような「承認」のプロセスがあるのですが今回のようにOU内(もしくは組織)での共有だとそれが省略されます!

参考