📘
AWS Organizations
【概要】
IAMより大きい単位のアカウントで一元管理するサービス。
大まか機能を3つ紹介
1)複数アカウントの一元化
2)新規アカウント作成の自動化
3)一括請求
【設定】
マスターを1つ作成し、それ以降はメンバーアカウントを追加していくことになる。
組織単位をOUという単位で管理して、サービスコントロールポリシー (SCP) でOU単位で権限を管理する。
このときIAMとSCPがややこしくなりそうなので、
・IAMはユーザー管理をする
・SCPはアカウントを管理する
【管理の方法】
種類 | 内容 |
---|---|
Consolidated Billing Only | 請求の一括化のみの場合(コスト削減に) |
All Feature | 企業内の組織、複数アカウントを統合する目的 |
では設定してみる。
1)マスターアカウント用のメールアドレスを登録
メールアドレスを登録して、承認メールが届くので承認する。
承認すると、マスターアカウントには、★マークが付きます
2)アカウントを招待
メールアドレスまたは、アカウントIDを入力します。
3)OUの設定
ダッシュボードの「アカウント管理」を押します。
「新規組織単位」をクリックして、名前を入れると組織が作成されます。
OUを移動させます。
4)SCPの設定
ダッシュボードの「ポリシー」を押します。
サービスコントロールポリシーを有効化します。
ポリシーを作成をクリック
JSON形式でポリシーを設定していきます。
今回はEC2での設定
細かな条件も設定することができます。
あとは、作成したポリシーをアタッチしたい組織をクリックして
右側からサービスコントロールポリシーを選択してアタッチすれば、ポリシーは適応されます。
Discussion