AWSアカウントの組織間移行のベストプラクティスに関するChalk Talk(COP325)に参加してきた #reinvent

特集

川原征大

2022.12.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。 AWS re:Invent 2022 、楽しんでいますでしょうか。

ラスベガス現地にて Best practices for automating AWS account migration(COP325) というChalk Talkに参加してきました。

その内容をレポートします。

セッション情報

In this chalk talk, discover best practices for organizing and migrating an AWS account. Learn how to identify dependencies that you can proactively address before the migration. This talk covers code for detecting resource policies and identity policies with dependencies. You also walk through additional checks that can help you achieve a quick and efficient migration.

スピーカー

  • Krista Gorman, Sr. Product Manager- Technical, AWS
  • Deepa Pahuja, Senior Solutions Architect, Amazon Web Services
  • Lalit Grover, Sr. SDE, AWS

Chalk Talk について

Chalk Talkは参加者とのディスカッションに重きを置いたセッションです。 前半はエキスパートによる説明はありますが、 後半はQAタイムといった感じで、エキスパートと参加者のあいだで 質問やディスカッションが交わされます。

会場のようすはこんな感じ。

img

本セッションは最初は通常のセッションと同じように、スライドを使って解説されていました。 後半部分のQAは様々な方が手を上げて質問されていました。 (議論が白熱しているのを見ていると、「英語できればもっと楽しめるな…」と感じてしまいます)

話されていた内容について

AWS組織からAWS組織への "migration" の難しさ

本セッションの migration はよくある「オンプレ→AWS」ではなく「AWS→AWS」です。 さらにいうと 「AWS Organizations において、ある組織(Organization)からある組織へ移行する」 という意味での migration です。

別Organizationへの移行には様々な考慮点があります。 例えば以下のような要素です。

  • どのサービスで「信頼されたアクセス」を有効にしているか
  • どのサービスをどのアカウントへ委任しているか
  • どのサービスでOrganizations連携機能を活用しているか
  • 各種IAMポリシーでOrganizations特有の制御を行っているか (aws:PrincipalOrgPaths など)

このようにOrganizationsは様々なサービス・リソースと関連してくるため、 「あるアカウントが別のOrganizationへ移行した際の影響」というのが予測困難になってきます。

(New Solution!) Account Assessment for AWS Organizations

そういった難しさを緩和するための 新しいAWSソリューション が紹介されました。それが Account Assessment for AWS Organization です。

img

これ以降はこのソリューションの説明・デモの時間(およびその後のQAタイム)でした。

このソリューションのアーキテクチャは以下の図のとおり。 専用のWebコンソールが作成され、そこから操作を行います。

img

– 画像: Architecture overview - Account Assessment for AWS Organizations

デモでは実際にWebコンソールの使い方を説明されていました。 「リソースベースのポリシーでOrganization制御を行っているか」などの 棚卸しが実施されていました。 ( こちらの実装ガイド にあるものとおおよそ同じでした)

img

– 画像: Use the solution - Account Assessment for AWS Organizations

おわりに

以上 Best practices for automating AWS account migration の参加レポートでした。

セッション部分は実質 Account Assessment for AWS Organization の紹介でした。

あまり今まで意識していなかった部分を考えさせられるセッションでした。 確かに、Organizations機能・関連サービス群はどんどん巨大化していると思うので、 こういった「どれだけOrganizationsを活用・設定しているかを評価するツール」は需要がありそうですね。 このソリューションも気になるので、今後触っていこうと思います。

後半のQAでは様々な方が OrganizationsやControl Tower周りの議論を交わしていました。 (英語、頑張らないといけないなと再認識しました)

以上、re:InventのChalk Talkレポートでした。

AWS

関連記事

複数の既存メンバーアカウントを Control Tower へ登録する方法

板倉舞

2024.04.18

[アップデート] 新サービス? AWS Control Catalog が増えています

Takuya Shibata

2024.04.14

ランディングゾーン設定後、メンバーアカウントを Control Tower に登録する前に確認しておきたいこと

板倉舞

2024.04.12

[Control Tower]「No launch paths found for resource: prod-xxxxx」というエラーが出たときの対応

板倉舞

2024.04.10