複数のアカウント管理を効率化できるAWS Organizationsを解説

AWS Organizationsは、複数のAWSアカウントを管理し、アカウント作成の自動化やシステム環境の一元的な保護を実装できるサービスです。AWSマネジメントコンソールCLIなどから操作を自動的に実行できるので、今まで煩わしかったアカウント管理作業や関連する作業の負担を軽減できます。

AWS Organizationsとは

AWS Organizationsは、複数のアカウントを統合的に管理できるAWSのサービスです。従来はAWSのアカウントを作る際に、カード番号の入力や電話認証など、煩雑な対応が必要でした。しかしAWS Organizationsを使用すれば、APIから新規アカウントを作成して管理できるので大変便利です。

AWSを利用する場合には、AWSで新規にアカウントを作成する必要がありますが、最初は1個のAWSアカウントを作成し、システムの運用を始めることになるでしょう。しかし、社員やエンジニアの増加、AWSの利用用途の増加、AWSサービスの追加などで、多くの場合は複数のアカウントが必要になります。よくあるのが、本番環境と検証環境でアカウントをわける必要性です。そんな場面でもAWS Organizationsを利用していれば、効率よく対応できます。

AWS Organizationsのメリット

ここでは、AWS Organizationsのメリットについてみていきましょう。

複数AWSアカウントを一元管理

AWSアカウントをグループ化してポリシーを適用し、利用サービスを制限できる機能があり、各アカウントのアクセス制御を簡素化できます。AWS Single Sign-On(以下、SSO)やActive Directoryと連携すると組織内のアクセス管理がスムーズになるでしょう。

ここでいう「組織」とはアカウントのグループのこと。組織の管理者は、組織内へのアカウント作成や、既存のアカウントを組織に招待できます。

ユーザー、アカウント、または組織にサービスコントロールポリシー(以下、SCP)を適用してAWSサービスへのアクセスをコントロールすることも可能です。特にサービスを提供するアカウントグループである組織単位(以下、OU)にアカウントをまとめ、SCPを適用することで、組織ごとのポリシーでアカウントを運用できます。

「SCP」とは組織のアクセス許可の管理に使用できる組織ポリシー。組織に属するアカウントのアクセス許可を一元的に制御できます。

AWSアカウント新規作成の自動化

GUIだけでなく、コンソール、SDK、CLIでもAWSアカウントを新規作成できるので、システム環境の拡張もスムーズです。複数アカウントがあれば、セキュリティのレベルや本番環境/検証環境などに応じてアカウントを使い分けられます。

システム環境を一元的に保護

下記のようにAWSの他サービスと連携させることにより、システム環境を一元的に保護できます。

  • AWS Backupを使用してバックアップ要件を適用およびモニタリング
  • AWS Configを使ってリソース、AWS リージョン、アカウント全体で推奨される設定基準を一元的に定義
  • AWS Control Towerを使用して、アカウント間のセキュリティ監査を実施
  • Amazon GuardDutyでの脅威検出や、AWS IAM Access Analyzerでシステムへのアクセスをチェック
  • AWS CloudTrailと連携して、アカウントに関連したイベントをログに記録

アカウント間でリソースを効率的に管理

AWS Resource Allocation Managementを使用すると、組織内で重要なリソースを効率的に共有できます。AWS License Managerとのソフトウェアライセンス契約を満たし、AWS Service Catalog を使ってITサービスとカスタム製品のカタログを維持するといった動きも可能です。

また、複数AWSアカウントの請求を一括して処理でき、さらにAWS Compute OptimizerやAWS Cost Explorerなどのサービスを活用して、組織全体の使用量を最適化していけます。

追加料金が不要

AWS Organizationsは、AWSを利用している人なら誰でも無料で利用できます。

AWS Organizationsのユースケース

AWS Organizationsを使用するとAWSアカウントの管理がスムーズになるため、様々な場面での使用が想定されています。

新規インフラ環境の構築を自動化

新しいインフラ環境をAWSで構築する際に、新規のAWSアカウントの作成、グループ追加、SCP適用までを自動化できます。さらにAWS CloudFormationやAWS Audit Managerと連携すれば、インフラ環境のデプロイと構築後の自己監査まで自動で実施することも可能です。

自社のセキュリティポリシーに応じたアカウント実装

SCPを適用することで、アカウントごとに動作を制限し、AWS CloudTrailと連携して、グループに属するアカウントの動作ログを取得。さらにAWS Control Towerと連携すれば、各アカウントを横断的に監視できます。

AWS Organizationsの導入事例

AWS Organizationsは、既に複数の現場に導入されています。ここからは、実際にAWS Organizationsが導入された事例をみていきましょう。

AWS Organizationsでプロジェクトごとにアクセスをコントロール

とある大手保険会社のグループ会社では、拡張性/開発アジリティ向上と運用工数削減のため、AWS導入を決定しました。

導入にあたっては、プロジェクトごとにアクセスコントロールを適用するため、AWS OrganizationsでAWSのアカウントを分離。同時に課題に挙がっていたオンプレミスのシステムとの接続についても、AWS Direct Connect Gatewayにより、拡張性も考慮したセキュアな接続を実現しています。またAmazon API Gatewayで、プライベートAPI使用によるセキュアなAPI基盤を構築し、かつ外部サービスからのAPI接続に関しては、個々のサービスを意識することなく利用できるように構築しました。

結果として、システム拡張性/システム開発のアジリティが向上し、かつサーバレスでの実装により運用工数が削減されました。

放置されていたAWSアカウント構成を改善

とある飲食店向けのシステム開発会社では、インフラ管理者が少なく、AWSのアカウントも放置されている状態でした。特に検証アカウントで検証用のリソースが放置され、プロダクトとして利用されているのかが不明で、うかつにAWSの環境を操作できず、AWSのオペレーションがインフラ担当者に集中していました。

また本番環境と検証環境の監査ログ保管が同居していることで、監査対応時にどちらの環境のログなのか判別しにくいなど、様々なリスクを抱えていることもインフラ担当者の頭を悩ませています。

そこでAWS Organizationsを利用して、AWSのマルチアカウントベストプラクティスに則って対応を実施したところ、AWS SSOなどと連携させてAWSアカウントを整理でき、スムーズに運用できるようになりました。

100を超えるAWSアカウント運用を自動化

とある転職を中心としたインターネットサービス会社は、AWSをメインに使用し、様々な領域で日々創出される事業を推進しています。しかしながら、AWSアカウントの総数は100を超えており、多くの AWS アカウントで、セキュリティや品質、監査・統制、開発の非効率などの問題が挙がっていました。

そこでAWS Organizationsを利用して各アカウントのベースラインを設定し、禁止操作の制限を各アカウントに反映するような仕組みを導入しました。このことにより、新規作成アカウントの初期セットアップやベースラインの更新に伴う一括変更を可能とし、効率的かつ確実性の高いマルチアカウント運用を実現することができました。

AWSのマルチアカウント戦略を社内で策定

とある世界的な金融サービス企業は、世界100カ国以上に組織を持ち、1万2千人以上がシステムにアクセスしてきます。当然AWSのアカウント量も相応のものになり、マルチアカウントの管理ポリシーの策定が急務となっていました。

そこでAWS OrganizationsのAPIを利用して、Roleの設定や適切なOUへの移動、SCPの適用なども含めてアカウント新規作成の自動化を実現しました。また、アカウントの管理にあたってはワークフローツールを駆使し、各アカウントで何をデプロイする必要があるかを明確にしています。さらに、設定ファイルは単一のものを管理することを徹底しました。

英語ですが、AWSから資料が公開されています。

SID331_Architecting Security and Governance Across a Multi-Account Strategy(AWS)別ウィンドウで開きます

AWS Organizationsの料金

AWS Organizations自体の料金は無料です。AWSのアカウントを保持していれば誰でも利用できます。

AWS Organizationsで効率的なAWSアカウント管理を

AWS Organizationsは、複数のアカウントを統合的に管理できるAWSのサービスで、セキュリティポリシーも一元的に管理できます。さらにAPIから新規アカウントを作成して管理できるので、環境の新規作成や拡張が柔軟に実施できるようになります。料金も無料のため、複数のAWSアカウントを管理している場合は使わない手はないでしょう。

AWS Organizationsで効率的なアカウント管理を実施していきましょう。

24時間365日対応可能なクラウド監視・運用代行で、あなたをシステム運用から解放します!

Amazon Web Services(AWS)、Microsoft Azureの
導入支援サービスのご相談、お問い合わせをお待ちしております。

ページ上部へ戻る