AWS Organizations を有効化して、既存のAWSアカウントを傘下に入れてみる

はじめに

みなさん、AWS Organizations していますか？ 個人開発に使っている AWS アカウントをいっちょ Organizations で管理するか、と思い立ったので、今回は Organizations の有効化を試してみます。

今回やることは以下のとおりです。

• 新規に AWS アカウントを作成し、Organizations を有効化する
• 既存の AWS アカウントを Organizations に紐付ける
• Organizations の OU を作成し、AWSアカウントを OU の配下に入れる

AWS Organizationsを有効化する

まずは、Organizations の有効化です。
AWS のベストプラクティスとしては、Organizations の有効化を行うアカウントは「管理アカウント」として扱い、すべての AWS リソースは組織内の他の AWS アカウント に保存し、管理アカウントからは切り離すことが推奨されています。

管理アカウントとそのユーザーおよびロールは、そのアカウントでしか実行できないタスクにのみ使用することをお勧めします。すべての AWS リソースは組織内の他の AWS アカウント に保存し、管理アカウントからは切り離します。ただし、唯一の例外として、AWS CloudTrail を有効にし、関連する CloudTrail 追跡とログを管理アカウントで保持することをお勧めします。

そのため、今回は Organizations を有効化するための管理アカウントを新規に作成しました。
新規に作成したアカウントでマネジメントコンソールにログインし、AWS Organizations の画面を開きましょう。そして、組織を作成する を押します。

Organizations が有効化されると、デフォルトでは Root OU の配下に Organizations を有効化したアカウントが入ります。AWS アカウントを追加 を押して、既存のアカウントを追加しましょう。

既存のアカウントが無い場合は、この画面から新規のアカウントを作成することができます。
今回は既存のアカウントを紐付けるため、 既存のアカウントを招待 を押します。

招待する AWS アカウントの ID （12ケタの数字）を入力し、招待を送信します。

招待を受け入れる

先程の Organizations を作成したアカウントから一度ログアウトします。
招待したアカウントで再度 マネジメントコンソールにログインし、Organizations の画面を開きます。
そして、1 件の招待を表示 ボタンを押します。

先程招待を行った自分のアカウントであることを確認し、招待を承認します。

Organizations を有効化した側のアカウント（管理アカウント）に再度ログインし、Organizations の画面を見ると、追加したアカウントが組織に加わっていることがわかります。

組織単位(OU) を作成する

Root を選択し、アクションから 新規作成 を押します。

組織単位名に任意の名称を入力します。ここでは Security OU としています。
組織単位の作成 を押しましょう。

同じ手順を繰り返して Workload OU も作成しました。

アカウントを OU に割り当てる

次に、アカウントを OU に割り当てます。
移動したいアカウントを選択し、アクションから 移動 を押します。

Workload OU を選択し、移動 ボタンを押します。

これで、OU の配下にアカウントを紐付けることができました。

実際に運用される際は、例えば本番環境(Prod OU) と非本番環境(OU)を分けるなど、よりセキュリティや運用の利便性を高めるような設計ができるといいですね。

おわりに

どんな OU 設計がベストなのかは、組織体制などによっても変わってきます。
一般的な考え方を学ぶ上では、以下のクラスメソッドさんのブログや、その元ネタである AWS Blog が非常に綺麗にまとまっているのでオススメです。

• AWS Organizationsの設計に必須なOU設計のベストプラクティスを学ぶ | DevelopersIO
• Best Practices for Organizational Units with AWS Organizations | AWS Cloud Operations & Migrations Blog