AWS Organizationsから新規AWSアカウントを作成してスイッチロールしてみた

こんにちは、臼田です。

みなさん、アカウント管理してますか?(挨拶

今回はAWS Organizationsを利用して新規のAWSアカウントを作成してみました。ついでにスイッチロールでアクセスしてみます。

AWS Organizationsとは

AWS Organizationsは複数のAWSアカウントをまとめて管理する事ができる便利な機能です。

主に請求をまとめたり、アカウントを跨いでSCP(サービスコントロールポリシー)で権限管理を行うなどガバナンスを効かせたりすることができます。

Organizationsでは組織という単位を作成してその中にアカウントを持ちます。

組織にアカウントを追加する方法は、既存のアカウントを招待する方法と、新規アカウントをOrganizationsから作成する方法があります。

今回はOrganizationsから作成してみます。

AWS Organizationsからアカウントを作成するメリット

ちなみにOrganizationsから作成すると、通常の作成よりもいいところがあります。

  • 作成する手順が少ない
  • すぐにIAM Roleが作成される
  • すぐに組織に所属できる

Organizationsを使う想定なら、この機能で作成したほうがいいです。

やってみた

既にAWS Organizationsで組織が作成されている前提で始めます。

Organizationsのアカウントタブで「アカウントの追加」を押します。

「アカウントの作成」を選択してアカウントの名前(アカウントの役割が分かる名前がいいです。○○-devとか)、メールアドレス、任意でIAMロール名(入力しない場合にはデフォルトのOrganizationAccountAccessRoleが使われます)を入力して「作成」を押します。通常の作成時にはクレジットカードの登録や電話認証などがありますが、それらは割愛されます。

少しするとアカウントが作成されます。Organizationsのアカウント一覧をリロードしてアカウントIDが発行されたらそれをコピーして、アカウントにアクセスするため右上のアカウントから「スイッチロール」を選択します。

コピーしたアカウントIDと先ほど入力したロール名を入力し、任意で色などを変えて「ロールの切り替え」を押します。

無事スイッチできました。IAMでロール欄を確認すると、Organizations等で自動的に作成されるロールと、先程名前を入れたロールが作成されていることが確認できます。このロールは組織のルートアカウントの信頼関係があります。

まとめ

AWS Organizationsから新しいAWSアカウントを作成してスイッチロールしてみました。

通常の作成よりもかなり簡単に利用できます。

アカウント作成後は下記の設定を忘れずに!

AWSアカウントを作ったら最初にやるべきこと ~令和元年版~