Open6
AWS Organizationsちゃんと理解する
使い方の種類
1️⃣ Consolidated Billing Only
- 一括請求: ✅
- アカウントの新規作成・招待: ✅
- SCP: ❌
あとからAll Featureに変えることもできる
2️⃣ All feature
- 一括請求: ✅
- アカウントの新規作成・招待: ✅
- SCP: ✅
アカウントの追加方法による違い
1️⃣ AWS Organizationsでアカウントを作成
自動的にメンバーアカウントに、管理アカウントからスイッチロールできるOrganization AccountAccessRole
が作成される
2️⃣ 既存のアカウントを取り込み
管理用のIAM Roleは自動で作成されない
SCPが適用されない例外条件
- 管理アカウントのすべて
- メンバーアカウントのService-linked Role
組織レベルでのCloudTrail有効化
マネジメントコンソールからポチポチで設定可能
全アカウントの証跡が、管理アカウントの単一のS3バケットに集約される
タグポリシー
Organization内のタグ付けにルールを設ける機能
タグ自体の付与を強制する機能ではないので注意!
envタグには、dev/stg/prodのみ設定できる
のようなことができる
メンバーアカウントの削除方法
1️⃣ Organizationsの管理対象から外して、アカウントは残す
- メンバーアカウントの請求設定
- 住所
- 支払い方法
etcの独立管理するために不可欠な情報を入力してから、削除する。
管理アカウント、メンバーアカウントのいずれからでも削除操作は行える。
2️⃣ メンバーアカウントを利用停止する
Close Account API
を利用して、組織から外しつつ、AWSアカウントをクローズできる。
管理アカウントから操作可能。
コンソールからのポチポチでも操作できる。