マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説

Transcript

1. マルチアカウント管理で必須！ AWS Organizationsの機能とユースケース解説 2025年03月27日 西内 渓太 ＮＲＩネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 NRIネットコム

   TECH AND DESIGN STUDY #60

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

   マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 はじめに 01 自己紹介 02 マルチアカウント管理とは 03 AWS Organizations 04 最新アップデート 05 まとめ 05

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

   マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 はじめに 01 自己紹介 02 マルチアカウント管理とは 03 AWS Organizations 04 最新アップデート 05 まとめ 05

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy はじめに

   ◼ 本日の勉強会ではAWS Organizationsというサービスにフォーカスして解説します ◼ また、AWS Organizationsを理解するにあたって重要な概念である「マルチアカウント」についても解説します ◼ AWS Organizationsはマルチアカウント管理において重要なサービスですが、一方で業務で触る機会が少ない方も 多いと思います ◼ AWS Organizationsの機能を把握して、アカウント管理の効率化方法を持ち帰っていただけると幸いです マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

   マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 はじめに 01 自己紹介 02 マルチアカウント管理とは 03 AWS Organizations 04 最新アップデート 05 まとめ 05

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy ◼

   氏名：西内 渓太 ◼ 経歴 • 兵庫県出身 • 2017年4月～ 日系SIer企業 新卒入社 機械学習でのデータ分析・新規サービス事業立ち上げ(PMO、運用保守)etc. 幅広い業務に従事 • 2022年11月～ NRIネットコム入社 クラウド（AWS）を活用した顧客システムの構築支援やCCoE向け支援業務に従事 • 2024 Japan AWS All Certifications Engineers ◼ 好きなAWSサービス AWS Organizations、AWS CloudFormation ◼ 保有AWS資格 自己紹介 マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

   マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 はじめに 01 自己紹介 02 マルチアカウント管理とは 03 AWS Organizations 04 最新アップデート 05 まとめ 05

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy マルチアカウント管理とは

   ◼ 課題①：無関係のリソースを操作する マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 シングルアカウントでの運用にはいくつかの課題が生じる AWS Cloud Amazon Elastic Compute Cloud (Amazon EC2) 開発用 Amazon Elastic Compute Cloud (Amazon EC2) 本番用 開発者 開発環境・本番環境 両方への権限を持つ 開発のつもりが誤って 本番を削除

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy マルチアカウント管理とは

   ◼ 課題②：プロジェクトや部署の単位で請求金額を把握したい マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 シングルアカウントでの運用にはいくつかの課題が生じる AWS Cloud Amazon EC2 新人研修用 Amazon EC2 自社HP公開用 新人入社時のみ使用 使用頻度低 HP公開に使用 常時稼働 請求書 「EC2利用料」としてまとめて計上 EC2ごとの利用料が不明

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy マルチアカウント管理とは

    ◼ 課題③：ユーザ別に操作可能な対象や操作内容を制御したい マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 シングルアカウントでの運用にはいくつかの課題が生じる AWS Cloud Amazon EC2 開発用 Amazon EC2 本番用 社員 開発・本番 両方操作可能 協力会社 開発のみ 操作可能

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy マルチアカウント管理とは

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 シングルアカウントでの運用にはいくつかの課題が生じる これら3つの課題に対しては、タグの付与によって対応は可能。 しかし、新規リソースへの付与や管理が非常に面倒。

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy マルチアカウント管理とは

    ◼ プロジェクトや部署・環境などでAWSアカウントを分離するという考え方 マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 マルチアカウントとは AWS Cloud Amazon EC2 開発用 AWS Cloud Amazon EC2 本番用 AWS Cloud AWS Cloud Amazon EC2 社内システム部利用 Amazon EC2 対顧客プロジェクト利用

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy マルチアカウント管理とは

    ◼ 課題①：無関係のリソースを操作する マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 シングルアカウントでの課題へのアプローチ AWS Cloud Amazon EC2 開発用 AWS Cloud Amazon EC2 本番用 開発者 （※開発/本番両方にアクセス可能） 環境として分離されているので 誤操作のリスクが減る

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy マルチアカウント管理とは

    ◼ 課題②：プロジェクトや部署の単位で請求金額を把握したい マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 シングルアカウントでの課題へのアプローチ AWS Cloud Amazon EC2 開発用 AWS Cloud Amazon EC2 本番用 本番環境 請求書 開発環境 請求書 アカウント別に請求書が発行されるため、 費用の配分が分かりやすい

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy マルチアカウント管理とは

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 シングルアカウントでの課題へのアプローチ マルチアカウントによりシングルアカウントでの課題へのアプローチをご紹介しました。 しかし、課題が解消された一方で新たな課題も生じます。 • いくつアカウントを所有しているか把握しにくい • 請求書がアカウント数分 発行される etc. これらの課題を解消してマルチアカウント管理を効率的にするのが AWS Organizations です。

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 はじめに 01 自己紹介 02 マルチアカウント管理とは 03 AWS Organizations 04 最新アップデート 05 まとめ 05

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizations

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 AWS Organizations は、 AWS リソースの拡大とスケーリングに応じて、環境を一元管理および管理するのに 役立ちます。Organizations を使用すると、アカウントの作成、リソースの割り当て、ワークロードを整理するための アカウントのグループ化、ガバナンスへのポリシーの適用、すべてのアカウントに単一の支払い方法を使用した請求の 簡素化が可能になります。 引用元：What is AWS Organizations? - AWS Organizations（AWS リソースをスケーリングしながら環境を一元 管理する） AWS Organizationsの概要 AWS Organizations

18. 17 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizations

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 AWS Organizationsの概要（イメージ） AWS Organizations 複数アカウントを一元管理することが可能 Account Management account Account

19. 18 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizations

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 AWS Organizationsの概要（イメージ） AWS Organizations 一括して請求書を発行することが可能 各アカウントごとの請求金額も確認可能 Account Management account Account 請求書 ここからはAWS Organizations関連でよく聞くワードを解説します

20. 19 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizations

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 AWS Organizationsでよく聞くワード ◼ 管理アカウント・メンバーアカウント AWS Organizations 管理アカウント： 図のManagement accountのこと。 デフォルトでOrganizationsの機能を使用することが 出来るため、他のアカウントよりも強い権限を持つ。 Account Management account Account メンバーアカウント： 管理アカウント以外のアカウントのこと。 基本的には管理アカウントから統制を敷かれる側。 ただし、委譲することでOrganizationsの権限を使う ことも可能。 ※請求代行サービスを利用している場合、メンバーアカウントのみ使用可能な場合が多いです

21. 20 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizations

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 AWS Organizationsでよく聞くワード ◼ OU（Organizational Unit） Account Management account Account AWS Organizations 部署A用 Organizational unit Account 部署B用 Organizational unit 任意のアカウントをまとめることが可能 （図では部署ごとでまとめている） 5階層まで作成が可能 部署B-X課用 Organizational unit Account Account

22. 21 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizations

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 AWS Organizationsでよく聞くワード ◼ SCP（Service control policies） Account Management account Account AWS Organizations 部署A用 Organizational unit Account 部署B用 Organizational unit OU・アカウントにアタッチするポリシー。 アタッチされたOU配下のアカウント、または アタッチされたアカウントは権限が制御される。 ポリシーのバイト数やアタッチ可能なポリシー数 に制限があるので適切な設計が必要。 部署B-X課用 Organizational unit Account Account 上層のOUで定義されているポリシーは 下層のOUにも自動的に継承される

23. 22 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizations

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 画面イメージ

24. 23 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Organizations

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 画面イメージ

25. 24 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 はじめに 01 自己紹介 02 マルチアカウント管理とは 03 AWS Organizations 04 最新アップデート 05 まとめ 05

26. 25 Copyright（C） NRI Netcom, Ltd. All rights reserved. 最新アップデート マルチアカウント管理で必須！AWS

    Organizationsの機能とユースケース解説 RCP（Resource Contorl Policies） ◼ 概要：AWS リソースへの外部アクセスを大規模に一元的に制限（下図ではAssume Roleを制限） ◼ サポート対象サービス： ⚫ Amazon S3/AWS Security Token Service/AWS Key Management Service/Amazon SQS/AWS Secrets Manager Organizational unit AWS Organizations Organizational unit Account RCP Role Account Role Role (External Organizations) 引用元：SCP・RCP・宣言型ポリシーの違いを簡単に整理してみた - NRIネットコムBlog

27. 26 Copyright（C） NRI Netcom, Ltd. All rights reserved. 最新アップデート マルチアカウント管理で必須！AWS

    Organizationsの機能とユースケース解説 宣言的ポリシー ◼ 概要：AWS サービスのベースライン構成を定義することができる ⚫ 例えば、AMIをパブリック公開禁止するポリシーを有効化すれば、アタッチした組織内の全てのアカウントでAMIのパブリック公開 禁止することができる ◼ サポート対象： ⚫ シリアルコンソールアクセス ⚫ インスタンスメタデータのデフォルト ⚫ AMI ブロック パブリック アクセス ⚫ EBSスナップショット ブロック パブリック アクセス ⚫ 許可されているAMI設定 ⚫ VPC ブロック パブリック アクセス

28. 27 Copyright（C） NRI Netcom, Ltd. All rights reserved. 最新アップデート マルチアカウント管理で必須！AWS

    Organizationsの機能とユースケース解説 ルートアクセス権限の管理 ◼ 先ほどの登壇内容と重複するので割愛！

29. 28 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 目次

    マルチアカウント管理で必須！AWS Organizationsの機能とユースケース解説 はじめに 01 自己紹介 02 マルチアカウント管理とは 03 AWS Organizations 04 最新アップデート 05 まとめ 05

30. 29 Copyright（C） NRI Netcom, Ltd. All rights reserved. まとめ マルチアカウント管理で必須！AWS

    Organizationsの機能とユースケース解説 ◼ 本日の勉強会ではAWS Organizationsについて基礎から解説しました ◼ 普段触ることが出来ない方は、自組織でどうやって統制が掛けられているイメージを付けてもらえればと思います ◼ マルチアカウント管理をしている組織の方はOrganizationsを使って管理の効率化を検討してみてください