📘

AWS Organizations

1 min read

【概要】
IAMより大きい単位のアカウントで一元管理するサービス。

大まか機能を3つ紹介
1)複数アカウントの一元化
2)新規アカウント作成の自動化
3)一括請求

【設定】
マスターを1つ作成し、それ以降はメンバーアカウントを追加していくことになる。
組織単位をOUという単位で管理して、サービスコントロールポリシー (SCP) でOU単位で権限を管理する。

SCPとIAMポリシーどちらが優先などではなく、両方一致している部分(and)が権限の対象となります。

このときIAMとSCPがややこしくなりそうなので、
・IAMはユーザー管理をする
・SCPはアカウントを管理する

【管理の方法】

種類 内容
Consolidated Billing Only 請求の一括化のみの場合(コスト削減に)
All Feature 企業内の組織、複数アカウントを統合する目的

では設定してみる。

1)マスターアカウント用のメールアドレスを登録

メールアドレスを登録して、承認メールが届くので承認する。
承認すると、マスターアカウントには、★マークが付きます

2)アカウントを招待

メールアドレスまたは、アカウントIDを入力します。

3)OUの設定

ダッシュボードの「アカウント管理」を押します。
「新規組織単位」をクリックして、名前を入れると組織が作成されます。

OUを移動させます。

4)SCPの設定

ダッシュボードの「ポリシー」を押します。
サービスコントロールポリシーを有効化します。
ポリシーを作成をクリック
JSON形式でポリシーを設定していきます。
今回はEC2での設定


細かな条件も設定することができます。

あとは、作成したポリシーをアタッチしたい組織をクリックして
右側からサービスコントロールポリシーを選択してアタッチすれば、ポリシーは適応されます。

Discussion

ログインするとコメントできます