概要
AWS上で複数アカウントを組織で管理する方法。管理者ルート、組織単位のOUを作成してアカウントを振り分けてポリシーを適用します。請求の一元管理や、アクセス、コンプライアンス、セキュリティの制御、AWS アカウント間でのリソースの共有ができます。
前提条件
・組織に所属するためのAWSアカウントが複数あること。
マスターアカウントの設定
組織の一括管理をするためのマスターアカウントを作成します。
① 管理者アカウントでAWSマネジメントコンソールにログインし、検索で「Organization」と入力し「AWS Organizations」をクリックします。
② 「組織の作成」をクリックします。
③ 「組織の作成」をクリックします。
④ 「組織が作成されました」と表示されます。確認用のメールが配信されます。
⑤ AWSから届くので「Verify your email address」をクリックします。
⑥ アカウントの確認が完了しました。
他のAWSアカウントの招待
① AWS Organizationsの「アカウントの追加」をクリックします。
② 「アカウントの招待」をクリックします。
③ メンバーとして追加するAWSアカウントのメールアドレスを入力し「招待」をクリックします。
④ AWSアカウントが追加されました。
組織単位の作成と移動
AWSアカウントを追加し、組織で管理します。
① 「アカウントの管理」を選択し「新規組織単位」をクリックします。
② 組織単位の名前を入力し「組織単位の作成」をクリックします。
③ 作成した組織にAWSアカウントを移動させます。対象アカウントにチェックを入れ「移動」をクリックします。
④ 作成したOUに移動します。
サービスコントロールポリシー
AWS Organizations上で設定したポリシーを適用してサービスをコントロールします。
以下、例として「S3」にアクセスできないOUを設定します。
① AWS Organizationsの「ポリシー」→「サービスコントロールポリシー」をクリックします。
② 「サービスコントロールポリシーを有効にする」をクリックします。
③ 「ポリシーの作成」をクリックします。
ポリシーの作成
① 「ポリシー名」「説明」を入力します。
② 「S3」と検索して「S3」を選択します。
③ 「All actions」にチェックを入れます。(すべてを拒否設定)
④ 「2. リソースを追加する」をクリックします。
⑤ AWSサービス「S3」、Resource type「All Resources」を選択し「リソースの追加」をクリックします。
⑥ 「3. 条件を追加する」をクリックします。
⑦ すべての時間を拒否するために「現在時刻の場合」の条件で設定します。
条件キー「aws:CurrentTime」、Qualifiler「デフォルト」、演算子「DataEquals」を選択し、「条件の追加」をクリックします。
⑧ 作成が完了しました。
ポリシーの適用
① AWS Organizationsのメニュー「アカウントの管理」をクリックします。対象OUを選択し、作成したポリシーを「アタッチ」します。