この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
AWS Organizations を有効化して、新規作成したメンバーアカウントにサインインするまでの流れを整理しました。
本記事で学べること
以下の設定手順を画面キャプチャをベースに設定の流れを把握できるように紹介します。
- AWS Organizations の有効化
- OU の新規作成
- メンバーアカウントの新規作成
- メンバーアカウントへスイッチロールしてサインイン
- AWS SSO は設定しません
- メンバーアカウントの削除方法紹介
AWS Organizations の有効化
AWS Organizations を有効化するところからはじめます。
AWS Organizations を開きます。
組織を作成するをクリック。
マスクしていますが管理アカウントの下にメールアドレスが表示されます。そのメールアドレスにメールが届きます。
メールを確認しVerify your email address をクリック。
検証が済み、AWS Organizations が利用できるようになります。
管理アカウント(マネジメントアカウント)が作成されました。AWS Organizations の有効化は簡単に終わりました。
メンバーアカウントの作成
AWS Organizations配下に検証用のメンバーアカウント(子アカウント)を1つ追加してみます。
AWS Organizations のダッシュボードからAWS アカウントを追加をクリック。
AWS アカウントを作成を選択し、任意のアカウント名を入力します。メールアドレスは必ず自分でメールを受け取れるメールアドレスを入力してください。子アカウントの作成自体はできますが、子アカウントを削除できなくて困ることになります。
ベストプラクティスでは以下の記述があります。
会社が管理するメールアドレスを使用します。パブリックメールプロバイダや、サードパーティーによって管理されるメールアドレスは使用しないでください。
受信したメッセージを上級管理者のリストに直接転送するメールアドレスを使用します。アクセス権の確認など、AWS からアカウントの所有者に連絡する必要が生じる事象では、メールは複数の当事者に送信されます。こうすることで、誰かが休暇中や病欠であるか、あるいはすでに退職している場合でも、応答の遅延のリスクを軽減できます。
引用: メンバーアカウントのベストプラクティス - AWS Organizations
宛先はGmailを利用しているためエイリアス(+sandbox)を付けて、ひとつのオリジナルのメールアドレスでAWS アカウントが増えても管理できるようにしました。
IAMロールはデフォルトのOrganizationAccountAccessRoleを使います。ベストプラクティスには載っておりませんが、アカウント全体で一貫性のある名前が推奨されています。任意のIAMロール名を使う場合はメンバーアカウント追加時の運用も考慮していただければと思います。
名前は作成時に個別に指定できますが、アカウント全体で一貫性のある名前を使用することをお勧めします。
引用: 組織のメンバーアカウントへのアクセスと管理 - AWS Organizations
Root直下に新規 AWS アカウント(Sandbox)が追加されました。追加されるまでは5分ほど時間がかりました。
メンバーアカウント用に設定したメールアドレスへメールが届きます。
新規追加したメンバーアカウントは OU 管理したいため、次は OU を作成します。
参考
OU(Organizational Unit)作成
AWS アカウントをグループ化してまとめて管理できる OU(Organizational Unit)を作成します。SCP は OU 単位で設定したり、OU を他の OU にネストして多階層構造を取ることもできます。
さきほど作成したメンバーアカウント(Snadbox)を新規作成する OU に登録してみます。
OU を作成しようとするとグレーアウトしています。
Root にチェックを入れてからアクションをクリックし、組織単位の新規作成を選択。
OU 名も Snadbox としました。
新規作成した OU が追加されました。
メンバーアカウントを OU に所属させる
OU を作成しただけだと当然どのアカウントも所属していません。
Sandboxアカウントの移動を行います。
SandboxOU を選択しAWSアカウントを移動させます。
SandboxOU配下のSandboxアカウントとなりました。
OU のネスト制限
AWS Organizations にもクォータは存在し、Root配下に最大5階層までの OU をネストできる制限となっています。とは言え、あまり深すぎても考えようものですね。
Quotas for AWS Organizations - AWS Organizations
参考
メンバーアカウントへサインイン
ロール名: OrganizationAccountAccessRole
スイッチロールできました。AWS Organizations のダッシュボードはメンバーアカウントなので確認できる情報は限られています。
参考
メンバーアカウントの削除
メンバーアカウントの削除は2022年3月のアップデートにより簡単に削除できるようになりました。つい最近のアップデートのため削除方法、画面キャプチャは以下のリンクをご確認ください。
ただし、30日の間に削除できるメンバーアカウントの数はアクティブなメンバーアカウント数に対して10%の割合までです。10%というのはデフォルトだとメンバーアカウントは10個まで作成できる状態のため、簡単に言うと過去30日間において1アカウントだけ削除できることになります。
10% of active member accounts in an organization can be closed within a 30 day period. The maximum account closure is 200, even if 10% active accounts exceeds 200.
引用: Quotas for AWS Organizations - AWS Organizations
その他にも制限事項がありますので詳細はブログをご覧ください。
従来の方法
メンバーアカウント単独(スタンドアロンアカウント)で扱えるようにクレジットカードの情報入力したり、ルートユーザーのパスワードを設定したりと事前準備が大変でした。クレジットカードを気軽に登録できる環境ならまだしも企業様の場合は難しいこともあるでしょう。参考までにメンバーアカウント削除前に行っていたクレジットカード登録の様子を簡単に紹介します。
この組織を離れるをクリックすると
クレジットカード情報が登録されていないと、AWS Organizations からアカウントを切り離すことができません。
メンバーアカウントでクレジットカードを登録して、
本人の確認の電話を受けて、メンバーアカウントを単独(スタンドアロンアカウント)に扱える準備が必要でした。
AWS アカウントを使い捨て感覚で運用するには少し敷居が高かったですね。
おわりに
AWS Organizations を有効化し、メンバーアカウントを新規作成するまでの流れをざっと把握できたのではないでしょうか。次回は今回作成したメンバーアカウントへ AWS SSO を有効化しシングルサインオンしてみます。
3
