Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSのルートアカウント管理者を A社からB社に移行してみた

Avatar for naoko rikiyama naoko rikiyama
July 26, 2025
Technology
2
52

AWSのルートアカウント管理者を A社からB社に移行してみた

Avatar for naoko rikiyama

naoko rikiyama

July 26, 2025
Tweet

Other Decks in Technology

See All in Technology
興味の胞子を育て 業務と技術に広がる”きのこ力”
Avatar for Fumiya Sakai fumiyasac0921
0
520
モバイルゲームの開発を支える基盤の歩み ~再現性のある開発ラインを量産する秘訣~
Avatar for QualiArts qualiarts
0
1k
大規模イベントを支える ABEMA の アーキテクチャ 変遷 2025
Avatar for Katsutoshi Nagaoka nagapad
6
600
Strands Agents & Bedrock AgentCoreを1分でおさらい
Avatar for みのるん minorun365
PRO
6
120
마라톤 끝의 단거리 스퍼트: 2025년의 AI
Avatar for Jeongkyu Shin inureyes
PRO
1
450
Kiroから考える AIコーディングツールの潮流
Avatar for Oikon s4yuba
3
580
【2025 Japan AWS Jr. Champions Ignition】点から線、線から面へ 〜僕たちが起こすコラボレーション・ムーブメント〜
Avatar for amixedcolor amixedcolor
1
110
LLM開発を支えるエヌビディアの生成AIエコシステム
Avatar for Murakami Mana acceleratedmu3n
0
360
AI人生苦節10年で会得したAIがやること_人間がやること.pdf
Avatar for shibuiwilliam shibuiwilliam
1
250
With Devin -AIの自律とメンバーの自立
Avatar for こたにん kotanin0
2
1k
AI時代の知識創造 ─GeminiとSECIモデルで読み解く “暗黙知”と創造の境界線
Avatar for Yukinaga OISHI nyagasan
0
180
Microsoft Learn MCP/Fabric データエージェント/Fabric MCP/Copilot Studio-簡単・便利なAIエージェント作ってみた -"Building Simple and Powerful AI Agents with Microsoft Learn MCP, Fabric Data Agent, Fabric MCP, and Copilot Studio"-
Avatar for 大竹礼二(REIJI OTAKE) reireireijinjin6
1
200

Featured

See All Featured
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
695
190k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
1.9k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
1
520
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
62k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
48
2.9k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.8k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.7k

Transcript

  1. AWSのルートアカウント管理者を A社からB社に移行してみた 2025/07/08 JAWS-UG朝会 #71 力山 奈生子

  2. 2 • 名前:力山 奈生子(りきやま なおこ) • 所属:某SIer • ロール:インフラエンジニア •

    AWS歴:5年 • 2025 Japan All AWS Certifications Engineerに選ばれました! • 趣味:おいしいものを食べること 自己紹介

  3. 3 • AWSのルートアカウント • AWSアカウントの利用形態 • 今回ルートアカウント(ルートユーザー)を移行することになった経緯 • A社からB社へのルートアカウント(ルートユーザー)の移行手続き •

    A社とB社のAWSアカウントの管理方針の差分への対応 • まとめ アジェンダ

  4. 4 • AWSアカウント作成時に用意したメールアドレスとパスワードでログインできる一番権限の強い ユーザー(ルートユーザー) - この資料のタイトルのルートアカウントは、Organizationsの管理アカウントは意味しない - ややこしいので、この後はルートユーザーと表記 • 唯一AWSアカウントの解約や支払いオプションの変更などの操作が可能

    • MFAを設定・認証情報を保護しておき、ルートユーザーしか実行できないタスクでのみ使用するのが 推奨 • ルートユーザーのメールアドレスは変更可能(今回ご紹介する話) AWSのルートアカウント

  5. 5 • 直接取得する方法 • リセラー経由で取得する方法 AWSアカウントの利用形態 利用者 ドル建ての クレジットカード払い 利用者

    円建ての支払い リセラー 支払い代行 メリット デメリット • 円建ての支払いが可能 • リセラー独自のサービスを受けられる(安価 にエンタープライズ相当のサポートを受けら れる など) • AWSアカウント内でリセラーが管理する 見 えない・触れない部分が出てくる

  6. 6 今回ルートユーザーを移行することになった経緯(1/3) AWSアカウント (管理アカウント) AWSアカウント (メンバーアカウント①) AWSアカウント (メンバーアカウント②) AWSアカウント (メンバーアカウント③)

    今回のシステム 開発で利用 リセラーA社 他のユーザーが 他システム開発で利用 他のユーザーが 他システム開発で利用 Organizationsというマルチアカウント管 理のサービスを利用し、A社が所有する 管理アカウントからメンバーアカウン トを集中管理 ・・・ 各メンバーアカウントを払い出し、 サービスを提供 各メンバーアカウントのルートユーザー の認証情報はA社社内で管理 利用者用のAWSアカウントは A社が管理するOrganizationsの メンバーアカウントとして払 い出し とあるお客様企業向けのAWSベースのシステム開発にて、リセラーA社からAWSアカウントを取得して利用

  7. 7 • 発表者の所属先(某SIer)が開発したシステムの運用をB社に引き継ぐことが決定 • 引き継ぎにあたっての事情 - 将来的にシステムの環境増設を予定していて、追加のAWSアカウントが必要になる見込みだった - B社はAWSのパートナー企業でA社と同じくAWSアカウントのリセールビジネスを行なっていた -

    B社もAWSアカウントをリセールする場合はOrganizationsの1メンバーアカウントとして提供、ルー トユーザーの認証情報はB社が管理 今回ルートユーザーを移行することになった経緯(2/3) 運用引き継ぎ前 (某SIerが運用担当) 運用引き継ぎ後 (B社が運用担当) A社が払い出し・管理 存在しない B社が払い出し・管理 B社が管理 既存環境用 AWSアカウント 新環境用 AWSアカウント • 今後のAWSアカウントの利用形態 - 環境増設用のAWSアカウントはB社から手配 - さらにA社から取得した既存アカウントもB社に移管

  8. 8 今回ルートユーザーを移行することになった経緯(3/3) AWSアカウント (管理アカウント) AWSアカウント (メンバーアカウント) 今回のシステム 開発で利用 A社 ・・・

    各メンバーアカウントを払い出し、 サービスを提供 ということで、A社→B社への会社をまたぐルートユーザーの移行およびOrganizationsの移動を行うことに AWSアカウント (管理アカウント) AWSアカウント (メンバーアカウント) 今回のシステム 開発で利用 B社 ・・・ 各メンバーアカウントを払い出し、 サービスを提供 ルートユーザーの メールアドレス 〜@asha.com ルートユーザーの メールアドレス 〜@bsha.com

  9. 9 A社からB社へのルートユーザー移行手続き Step 手続き 所要時間 担当 詳細 1 移管元(A社)への解約申請 10-15分

    お客様 A社のポータルへのチケット起票 2 ルートユーザーのメールアドレス変更 2-3週間 A社、B社 A社 ・ルートユーザーのMFA解除 ・ルートユーザーのメールアドレス・パスワード共有 など B社 ・ルートユーザーのメールアドレス・パスワード変更 ・支払いオプション変更 ・管理連絡先情報変更 など 3 移管先(B社)への申込 数日 お客様、B社 不明 4 移管元(A社)と移管先(B社)のAWS アカウントの管理方針の差分への対応 2-3週間 某SIer、B社 次ページ以降に記載 • 私がやったこと - 必要な手続きをA社に確認して整理(リセラーにより異なる可能性があるらしい) - 1〜3の間はスケジュール管理や各社への情報連携を実施、4は主担当として対応しそれなりに頭を使った • やってみて分かったこと - AWSアカウントを使えなくなるタイミングはなく、リソースを継続利用可能 - AWS料金の支払い先は2の手続きの途中でA社からB社に変わった • 所感 - 各社協力的で全体としてスムーズに移行を実施できた AWSアカウントの 契約者がお客様のため AWSアカウントの 契約者がお客様のため

  10. 10 (参考)A社が払い出すAWSアカウントのユーザーの管理 IAMの認証情報を使ってアクセス ユーザー名 パスワード 権限 ユーザーA --- 管理者レベル ユーザーB

    --- 開発者レベル AWSアカウント (管理アカウント) AWSアカウント (メンバーアカウント) 今回のシステム の開発で利用 A社 AWSコンソール用のユーザーと権限は メンバーアカウント側のIAMにて管理 IAM ユーザーの管理は 利用者側が担当

  11. 11 (参考)B社が払い出すAWSアカウントのユーザーの管理 Oktaの認証情報を使ってアクセス ロール名 権限詳細 管理者ロール IAM・Aurora・S3等の権限 開発者ロール Aurora・S3等の権限 AWSアカウント

    (管理アカウント) AWSアカウント (メンバーアカウント) 今回のシステム 開発で利用 B社 AWSコンソールを利用する際は、管理アカウント 側のIAM Identity Centerの設定時に自動作成され るメンバーアカウント側のIAMロールの権限を利用 IAM IAM Identity Center ユーザー名 権限 ユーザー① メンバーアカウントの 管理者レベル ユーザー② メンバーアカウントの 開発者レベル ユーザー名 パスワード ユーザー① --- ユーザー② --- AWSコンソール用のユーザーは B社がOktaというIDaaSのサー ビスで管理 OktaのユーザーとAWS上の権限の紐づけはB社が 管理アカウント側のIAM Identity Centerという SSOのサービスで管理

  12. 12 A社とB社のAWSアカウントの管理方針の差分への対応(1/3) ルートユーザー移行にともない、ユーザー管理方式をA社管理下で標準だったIAMからB社管理下で標準のOkta へ移行することに ルート ユーザー それ以外の ユーザー A社 なし

    某SIer お客様、某SIer B社 ルートユーザー移行後 なし ルートユーザー移行前 管理 管理 発行済 ユーザー 管理 発行済 ユーザー お客様、B社、某SIer なし なし B社 IAM ユーザー Okta ユーザー Oktaユーザー払い出し後に 発表者(某SIer)にてIAM ユーザーを削除

  13. 13 A社とB社のAWSアカウントの管理方針の差分への対応(2/3) ユーザー管理方式のIAM→Oktaへの移行にともない、特定のIAMユーザーに紐づくリソース設定を修正 KMSのカスタマー管理型暗号化キーのキーポリシー 暗号化キーの管理操作を一部の IAMユーザーにのみ許可していた

  14. 14 A社とB社のAWSアカウントの管理方針の差分への対応(3/3) 表:料金 - AWS サポート | AWS (amazon.com)より抜粋 AWSサポートへの問い合わせは、A社管理下ではA社のポータル経由で無償で行えたのに対し、B社管理下では

    有償のビジネスサポートプランを契約の上でAWSコンソールから行うことを確認 A社管理下では追加料金無しで独自のポー タルから問い合わせ B社管理下では有償のビジネスサポートプラン を契約の上でAWSコンソールから問い合わせ AWSのサポートプラン

  15. 15 • AWSアカウントのルートユーザーの移行(メールアドレスの変更)は可能 • 移行中にAWSの利用がストップされることはなく、リソースを継続利用できる • リセラーから取得したAWSアカウントのルートユーザーを移行する場合、リセラーによって手続き が変わる可能性がある • 会社やOrganizationsをまたぐルートユーザーの移行の場合、移行前後でAWSアカウントの管理方針が

    異なる可能性があるので、違いに注意して計画的に対応する まとめ