Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS C...
Search
nabeo
June 07, 2022
Technology
2
2.8k
AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20
Hatena Engineer Seminar #20 AWS Renovation 編
https://hatena.connpass.com/event/249039/
の発表資料です
nabeo
June 07, 2022
Tweet
Share
More Decks by nabeo
See All by nabeo
OpenTelemetry Collector 自身のモニタリング / Monitoring the OpenTelemetry Collector itself
nabeo
0
440
ヘンリーにおける可観測性獲得への取り組み
nabeo
2
1.9k
AWS CDK (TypeScript) を継続的にメンテ可能にするために取り入れているノウハウ集
nabeo
0
1.2k
AWS Transit Gateway を使った内部ネットワークの構成変更の話 / AWS Transit Gateway and Me
nabeo
0
570
Docker イメージのダイエットが成功するまで帰れまてん / Docker Image Diet Challenge
nabeo
4
4k
LVS 勉強会 (LVS Study)
nabeo
0
3.3k
Other Decks in Technology
See All in Technology
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
4
250
生成AIが変えるデータ分析の全体像
ishikawa_satoru
0
200
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
250
CysharpのOSS群から見るModern C#の現在地
neuecc
2
3.8k
オープンソースAIとは何か? --「オープンソースAIの定義 v1.0」詳細解説
shujisado
12
1.5k
『Firebase Dynamic Links終了に備える』 FlutterアプリでのAdjust導入とDeeplink最適化
techiro
0
230
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
430
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.8k
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
1
230
OS 標準のデザインシステムを超えて - より柔軟な Flutter テーマ管理 | FlutterKaigi 2024
ronnnnn
1
340
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
210
SDNという名のデータプレーンプログラミングの歴史
ebiken
PRO
2
190
Featured
See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
Scaling GitHub
holman
458
140k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Adopting Sorbet at Scale
ufuk
73
9.1k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Docker and Python
trallard
40
3.1k
10 Git Anti Patterns You Should be Aware of
lemiorhan
655
59k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
6.9k
Transcript
AWS Organizations 組織を移動する時に 考えること 100 連発 AWS Control Tower への組み込みを添えて
id:nabeop / @nabeo 2022/06/07 Hatena Engineer Seminar #20 AWS Renovation 編 1
自己紹介 組織・基盤開発本部 プラットフォーム部 システムプラットフォームチーム SRE id:nabeop Twitter : @nabeo https://twitter.com/nabeo
Blog : https://nabeop.hatenablog.com/ 2
AWS アカウント管理のガバナンス強化 3 【開催報告】アップデート紹介とちょっぴり Dive Deep する AWS の時間 第十七回
(04/28) https://aws.amazon.com/jp/blogs/news/update-divedeep-series-17/
用語の整理 (AWS アカウントの種類) • 管理アカウント ◦ AWS Organizations の組織を管理する AWS
アカウント • メンバーアカウント ◦ AWS Organizations の組織に入っている AWS アカウント • payer アカウント ◦ AWS アカウントの費用の支払い責任をもつ AWS アカウント 4
5 AWS Organizations の組織移動 と AWS Control Tower への組み 込み手順
6 手順 1 旧組織から離脱する
7 手順 2 新組織に加入する
8 手順 3 新組織の AWS Control Tower に組み込む
9 ね?簡単でしょ??
10 簡単ではない!!
お品書き • 一括請求の対象から外れる • RI/SP が共有できない • AWS Control Tower
と競合する AWS リソー ス • ポリシーで組織 ID を使っているケース 11
12 その1 : 一括請求から外れる
13 AWS Organizations の一括請求機能 • 組織内のメンバーアカウントの請求を1つの AWS アカウントにまとめる • 請求書が1つにまとまるので管理が楽になる
組織移動中の payer アカウントの変化 • 旧組織に所属している期間 ◦ payer アカウントは旧組織の管理アカウント • どの組織にも所属していない期間
◦ payer アカウントは自分自身 • 新組織に所属している期間 ◦ payer アカウントは新組織の管理アカウント 14
煩雑な請求手続き • 最大で3つに分割されて請求される • どの組織にも所属していない期間の扱い ◦ デフォルトではクレジットカード決済 15
中途半端な請求を発生させないために • 仮定1 : 請求金額は1時間ごとに計算してい る? ◦ だいたい時間課金のコスト体系 16
中途半端な請求を発生させないために • 仮定2 : 請求金額が確定するまでに新しい組織 に組み込まれたら請求が発生しないのでは? ◦ 一括請求の適用外になっている期間を1時間以内に納 めたら新組織で請求されるのではないか ◦
もしくはコストが発生しても十分小さい金額になるよ うに頑張る 17
AWS Organizations 組織移動 RTA Tips • 旧組織にいる時点で新組織から移動対象の AWS アカウントに組織の招待を送信する •
旧組織から離脱したら、すかさず新組織から の招待を受諾する 18
19 その2 : 他アカウントで購 入した RI/SP を使えなく なる
20 同一組織内で共有している RI/SP • 組織から外れた時点で他 AWS アカウントか ら RI/SP が共有されなくなる
組織移動を見越した RI/SP 購買 • 他アカウントの RI/SP を使っている場合は買 い増しを検討する ◦ 共有している/されている
RI/SP は AWS CUR で確認 できる • RI/SP 購買を計画と組織移動の計画をリンク させる 21
22 その 3 : AWS Control Tower と競合する AWS リ
ソースが作成されている
23 AWS Control Tower によって作られる AWS リソース (一部)
24 AWS Config • リージョンにつき1つしか作成できないリソー スを AWS Control Tower が使用する
◦ AWS CloudFormation のスタックで管理される
AWS Control Tower との競合を避ける • AWS Control Tower への組み込み前に AWS
サポートに該当するリソースを作らないよう に依頼する • 既存のリソースを手で修正する 25
運用上の課題 • AWS Control Tower のバージョンアップなど でアカウント単位での更新ができなくなる ◦ Acccount Factory
でのアカウントの登録でエラーに なる ◦ OU の再適用によって更新する 26
27 その 4 : ポリシーで組織 ID を使っている
28 組織 ID を IAM ポリシーで使う • aws:PrincipalOrgId • aws:ResourceOrgPaths
• aws:ResourceOrgId
潜んでいそうなところ 29 • IAM のポリシードキュメント ◦ awscli で使用箇所を特定することは可能 • リソースポリシードキュメント
◦ 各 AWS サービスに散らばっているので網羅的な調査 が難しい
30 最後に
31 AWS アカウント管理は面白い • 普段では意識しないところで色々と考えるこ とがある • AWS アカウントのガバナンス強化にはまだま だチャレンジできるところが残っている
32 32
nabeo
ryder472
ishikawa_satoru
chou500
neuecc
shujisado
techiro
negi111111
uhyo
amixedcolor
ronnnnn
salaboy
ebiken
kevinliebholz
holman
mongodb
philnash
keithpitt
ufuk
philhawksworth
afnizarnur
eileencodes
trallard
lemiorhan
aleyda
