Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS C...
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
nabeo
June 07, 2022
Technology
2
3.4k
AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20
Hatena Engineer Seminar #20 AWS Renovation 編
https://hatena.connpass.com/event/249039/
の発表資料です
nabeo
June 07, 2022
Tweet
Share
More Decks by nabeo
See All by nabeo
組織とプロダクトの変化に合わせたクラウド選択 / Henry Engineer Meetup #5
nabeo
0
37
kotlin-lsp の開発開始に触発されて、Emacs で Kotlin 開発に挑戦した記録 / kotlin‑lsp as a Catalyst: My Journey to Kotlin Development in Emacs
nabeo
3
850
SRE 文化の醸成: stream-aligned チームに Enabling するために実施した事例の解説 / Cloud Operator Days Tokyo 2025
nabeo
0
240
kotlin-lsp を Emacs で使えるようにしてみた / use kotlin-lsp in Emacs
nabeo
0
410
Docker Compose で手軽に手元環境を実現する / Simplifying Local Environments with Docker Compose #CinemaDeLT
nabeo
0
580
OpenTelemetry Collector 自身のモニタリング / Monitoring the OpenTelemetry Collector itself
nabeo
0
590
ヘンリーにおける可観測性獲得への取り組み
nabeo
2
2.3k
AWS CDK (TypeScript) を継続的にメンテ可能にするために取り入れているノウハウ集
nabeo
0
1.4k
AWS Transit Gateway を使った内部ネットワークの構成変更の話 / AWS Transit Gateway and Me
nabeo
0
760
Other Decks in Technology
See All in Technology
GoとWasmでつくる軽量ブラウザUI
keyl0ve
0
140
AI時代のAPIファースト開発
nagix
2
620
Bill One 開発エンジニア 紹介資料
sansan33
PRO
5
18k
「使いにくい」も「運用疲れ」も卒業する UIデザイナーとエンジニアが創る持続可能な内製開発
nrinetcom
PRO
0
430
Eight Engineering Unit 紹介資料
sansan33
PRO
1
6.8k
パネルディスカッション資料 (at Tableau Now! - 2026-02-26)
yoshitakaarakawa
0
540
Microsoft Fabric のワークスペースと容量の設計原則
ryomaru0825
2
180
30分でわかるアーキテクチャモダナイゼーション
nwiizo
8
3.7k
「OSアップデート:年に一度の「大仕事」を乗り切るQA戦略」_Mobile Tech Flex 〜4社合同!私たちのモバイル開発自慢大会〜
gu3
0
240
Digitization部 紹介資料
sansan33
PRO
1
6.9k
OCI技術資料 : 外部接続 VPN接続 詳細
ocise
1
10k
LINEヤフーにおけるAI駆動開発組織のプロデュース施策
lycorptech_jp
PRO
0
160
Featured
See All Featured
Evolving SEO for Evolving Search Engines
ryanjones
0
140
Navigating Weather and Climate Data
rabernat
0
130
Leading Effective Engineering Teams in the AI Era
addyosmani
9
1.7k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.1k
Amusing Abliteration
ianozsvald
0
120
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
59
50k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
62
50k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
260
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
67
37k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
200
Ruling the World: When Life Gets Gamed
codingconduct
0
160
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
Transcript
AWS Organizations 組織を移動する時に 考えること 100 連発 AWS Control Tower への組み込みを添えて
id:nabeop / @nabeo 2022/06/07 Hatena Engineer Seminar #20 AWS Renovation 編 1
自己紹介 組織・基盤開発本部 プラットフォーム部 システムプラットフォームチーム SRE id:nabeop Twitter : @nabeo https://twitter.com/nabeo
Blog : https://nabeop.hatenablog.com/ 2
AWS アカウント管理のガバナンス強化 3 【開催報告】アップデート紹介とちょっぴり Dive Deep する AWS の時間 第十七回
(04/28) https://aws.amazon.com/jp/blogs/news/update-divedeep-series-17/
用語の整理 (AWS アカウントの種類) • 管理アカウント ◦ AWS Organizations の組織を管理する AWS
アカウント • メンバーアカウント ◦ AWS Organizations の組織に入っている AWS アカウント • payer アカウント ◦ AWS アカウントの費用の支払い責任をもつ AWS アカウント 4
5 AWS Organizations の組織移動 と AWS Control Tower への組み 込み手順
6 手順 1 旧組織から離脱する
7 手順 2 新組織に加入する
8 手順 3 新組織の AWS Control Tower に組み込む
9 ね?簡単でしょ??
10 簡単ではない!!
お品書き • 一括請求の対象から外れる • RI/SP が共有できない • AWS Control Tower
と競合する AWS リソー ス • ポリシーで組織 ID を使っているケース 11
12 その1 : 一括請求から外れる
13 AWS Organizations の一括請求機能 • 組織内のメンバーアカウントの請求を1つの AWS アカウントにまとめる • 請求書が1つにまとまるので管理が楽になる
組織移動中の payer アカウントの変化 • 旧組織に所属している期間 ◦ payer アカウントは旧組織の管理アカウント • どの組織にも所属していない期間
◦ payer アカウントは自分自身 • 新組織に所属している期間 ◦ payer アカウントは新組織の管理アカウント 14
煩雑な請求手続き • 最大で3つに分割されて請求される • どの組織にも所属していない期間の扱い ◦ デフォルトではクレジットカード決済 15
中途半端な請求を発生させないために • 仮定1 : 請求金額は1時間ごとに計算してい る? ◦ だいたい時間課金のコスト体系 16
中途半端な請求を発生させないために • 仮定2 : 請求金額が確定するまでに新しい組織 に組み込まれたら請求が発生しないのでは? ◦ 一括請求の適用外になっている期間を1時間以内に納 めたら新組織で請求されるのではないか ◦
もしくはコストが発生しても十分小さい金額になるよ うに頑張る 17
AWS Organizations 組織移動 RTA Tips • 旧組織にいる時点で新組織から移動対象の AWS アカウントに組織の招待を送信する •
旧組織から離脱したら、すかさず新組織から の招待を受諾する 18
19 その2 : 他アカウントで購 入した RI/SP を使えなく なる
20 同一組織内で共有している RI/SP • 組織から外れた時点で他 AWS アカウントか ら RI/SP が共有されなくなる
組織移動を見越した RI/SP 購買 • 他アカウントの RI/SP を使っている場合は買 い増しを検討する ◦ 共有している/されている
RI/SP は AWS CUR で確認 できる • RI/SP 購買を計画と組織移動の計画をリンク させる 21
22 その 3 : AWS Control Tower と競合する AWS リ
ソースが作成されている
23 AWS Control Tower によって作られる AWS リソース (一部)
24 AWS Config • リージョンにつき1つしか作成できないリソー スを AWS Control Tower が使用する
◦ AWS CloudFormation のスタックで管理される
AWS Control Tower との競合を避ける • AWS Control Tower への組み込み前に AWS
サポートに該当するリソースを作らないよう に依頼する • 既存のリソースを手で修正する 25
運用上の課題 • AWS Control Tower のバージョンアップなど でアカウント単位での更新ができなくなる ◦ Acccount Factory
でのアカウントの登録でエラーに なる ◦ OU の再適用によって更新する 26
27 その 4 : ポリシーで組織 ID を使っている
28 組織 ID を IAM ポリシーで使う • aws:PrincipalOrgId • aws:ResourceOrgPaths
• aws:ResourceOrgId
潜んでいそうなところ 29 • IAM のポリシードキュメント ◦ awscli で使用箇所を特定することは可能 • リソースポリシードキュメント
◦ 各 AWS サービスに散らばっているので網羅的な調査 が難しい
30 最後に
31 AWS アカウント管理は面白い • 普段では意識しないところで色々と考えるこ とがある • AWS アカウントのガバナンス強化にはまだま だチャレンジできるところが残っている
32 32
nabeo
keyl0ve
nagix
sansan33
nrinetcom
yoshitakaarakawa
ryomaru0825
nwiizo
gu3
ocise
lycorptech_jp
ryanjones
rabernat
addyosmani
inesmontani
ianozsvald
madoxten
soudai
kimpetersen
akihiro_kokubo
axbom
codingconduct
chrisshort
