AWS Organizationsの設定方法

概要

AWS上で複数アカウントを組織で管理する方法。管理者ルート、組織単位のOUを作成してアカウントを振り分けてポリシーを適用します。請求の一元管理や、アクセス、コンプライアンス、セキュリティの制御、AWS アカウント間でのリソースの共有ができます。

前提条件

・組織に所属するためのAWSアカウントが複数あること。

 

マスターアカウントの設定

組織の一括管理をするためのマスターアカウントを作成します。

 

① 管理者アカウントでAWSマネジメントコンソールにログインし、検索で「Organization」と入力し「AWS Organizations」をクリックします。

 

② 「組織の作成」をクリックします。

 

③ 「組織の作成」をクリックします。

 

④ 「組織が作成されました」と表示されます。確認用のメールが配信されます。

 

⑤ AWSから届くので「Verify your email address」をクリックします。

 

⑥ アカウントの確認が完了しました。

 

他のAWSアカウントの招待

① AWS Organizationsの「アカウントの追加」をクリックします。

 

② 「アカウントの招待」をクリックします。

 

③ メンバーとして追加するAWSアカウントのメールアドレスを入力し「招待」をクリックします。

 

④ AWSアカウントが追加されました。

 

組織単位の作成と移動

AWSアカウントを追加し、組織で管理します。

 

① 「アカウントの管理」を選択し「新規組織単位」をクリックします。

 

② 組織単位の名前を入力し「組織単位の作成」をクリックします。

 

③ 作成した組織にAWSアカウントを移動させます。対象アカウントにチェックを入れ「移動」をクリックします。

 

④ 作成したOUに移動します。

 

 

サービスコントロールポリシー

AWS Organizations上で設定したポリシーを適用してサービスをコントロールします。
以下、例として「S3」にアクセスできないOUを設定します。

① AWS Organizationsの「ポリシー」→「サービスコントロールポリシー」をクリックします。

 

② 「サービスコントロールポリシーを有効にする」をクリックします。

 

③ 「ポリシーの作成」をクリックします。

 

ポリシーの作成

① 「ポリシー名」「説明」を入力します。

 

② 「S3」と検索して「S3」を選択します。

 

③ 「All actions」にチェックを入れます。(すべてを拒否設定)

 

④ 「2. リソースを追加する」をクリックします。

 

⑤ AWSサービス「S3」、Resource type「All Resources」を選択し「リソースの追加」をクリックします。

 

⑥ 「3. 条件を追加する」をクリックします。

 

⑦ すべての時間を拒否するために「現在時刻の場合」の条件で設定します。

条件キー「aws:CurrentTime」、Qualifiler「デフォルト」、演算子「DataEquals」を選択し、「条件の追加」をクリックします。

 

⑧ 作成が完了しました。

 

ポリシーの適用

① AWS Organizationsのメニュー「アカウントの管理」をクリックします。対象OUを選択し、作成したポリシーを「アタッチ」します。