Open6

AWS Organizationsちゃんと理解する

使い方の種類

1️⃣ Consolidated Billing Only

  • 一括請求: ✅
  • アカウントの新規作成・招待: ✅
  • SCP: ❌

あとからAll Featureに変えることもできる

2️⃣ All feature

  • 一括請求: ✅
  • アカウントの新規作成・招待: ✅
  • SCP: ✅

アカウントの追加方法による違い

1️⃣ AWS Organizationsでアカウントを作成

自動的にメンバーアカウントに、管理アカウントからスイッチロールできるOrganization AccountAccessRole が作成される

2️⃣ 既存のアカウントを取り込み

管理用のIAM Roleは自動で作成されない

SCPが適用されない例外条件

  • 管理アカウントのすべて
  • メンバーアカウントのService-linked Role

組織レベルでのCloudTrail有効化

マネジメントコンソールからポチポチで設定可能

全アカウントの証跡が、管理アカウントの単一のS3バケットに集約される

タグポリシー

Organization内のタグ付けにルールを設ける機能
タグ自体の付与を強制する機能ではないので注意!

envタグには、dev/stg/prodのみ設定できる
のようなことができる

https://dev.classmethod.jp/articles/update-tag-policies/

メンバーアカウントの削除方法

1️⃣ Organizationsの管理対象から外して、アカウントは残す

  • メンバーアカウントの請求設定
  • 住所
  • 支払い方法

etcの独立管理するために不可欠な情報を入力してから、削除する。

管理アカウント、メンバーアカウントのいずれからでも削除操作は行える

2️⃣ メンバーアカウントを利用停止する

Close Account API を利用して、組織から外しつつ、AWSアカウントをクローズできる。

管理アカウントから操作可能。
コンソールからのポチポチでも操作できる。

ログインするとコメントできます