🐕

AWS Organizations入門

に公開
AWS
awsorganizatios
tech

想定の読者

下記のような人に読んでほしい。

  • AWS Organizationsって難しそう。
  • 試験でよく出るけど、実際に触るのはハードルが高いと感じる。
  • 結局何ができるサービスなのかがよくわからない

AWS Organizationsでできること

成長とスケールに合わせてAWSの環境を一元的に管理できるサービス。注意点としては、後述するサービスやポリシーは基本的にはOrganizationsを利用しなくても使えるサービスであるということ。Organizationsはあくまでこれらのサービスやポリシーをルートアカウントで一元的に管理が行えるようになるというだけ。
例えば、これらのことができる。

  • アカウントとリソースの一元的なプロビジョニング
  • AWS環境の保護
  • コンプライアンスの監査
  • リソースの共有
  • アカウント、リージョン、サービスへのアクセス制御
  • コストの最適化および請求の簡素化 など...

AWS Organizationsの主な機能

AWSアカウント管理機能

メンバーアカウント(Organizationsに所属するAWSアカウント)を一元的に管理する機能。OU(Organizational units:組織単位)というグループで複数のアカウントをグループ化して1つの単位として管理できる。別OUへの移動方法などがAWS認定のSAPでよく出題されているイメージ

ポリシー管理機能

OUやOrganizations単位で共通のポリシーを作成・管理できる機能2024年12月時点では、下記の7種類のポリシーを管理できる。タグポリシーやサービスコントロールポリシーなどはAWS認定SAPでも頻出のイメージ

AI サービスのオプトアウトポリシー

AI サービスのオプトアウトポリシーを使用すると、組織内のすべてのアカウントの AWS AI サービスのデータ収集を制御できます。

バックアップポリシー

バックアップポリシーを使用すると、組織のアカウント全体で AWS リソースを一元的に管理し、バックアップ計画を適用できます。

チャットボットポリシー

チャットボットポリシーを使用すると、Slack や Microsoft Teams などのチャットアプリケーションから組織のアカウントへのアクセスを制御できます。

EC2 の宣言型ポリシー

EC2 の宣言型ポリシーにより、EC2 に必要な設定を一元的に宣言し、組織全体で大規模に適用できます。アタッチされると、EC2 が新しい機能や API を追加しても、その設定は常に維持されます。

リソースコントロールポリシー

リソースコントロールポリシー (RCP) は、組織内のリソースに利用可能な最大アクセス許可を一元的に制御します。

サービスコントロールポリシー

サービスコントロールポリシー (SCP) は、組織内の IAM ユーザーと IAM ロールに利用可能な最大アクセス許可を一元的に制御します。

タグポリシー

タグポリシーを使用すると、組織のアカウント内の AWS リソースにアタッチされたタグを標準化できます。

サービス管理機能

ガバナンス関連のサービスの利用可否などを一元的に管理できる機能。デフォルトでは全て無効になっているので、要件に合わせて必要なものを有効化して利用する。2024年12月時点では、39個のサービスが利用できる。

アクセスと許可

  1. Amazon VPC IP Address Manager
    Amazon VPC IP Address Manager (IPAM) は、AWS ワークロードの IP アドレスの計画、追跡、モニタリングを容易にする VPC の機能です。AWS Organizations を使用すると、組織全体の IP アドレスの使用状況をモニタリングし、メンバーアカウント間で IP アドレスプールを共有できます。

  2. AWS IAM Identity Center (AWS Single Sign-On)
    すべての AWS アカウントおよびクラウドアプリケーションへのシングルサインオンアクセスの一元的な提供と管理を容易にするマネージドサービスです。

  3. AWS Network Manager
    Network Manager を使用すると、AWS のアカウント、リージョン、オンプレミスのロケーション全体で、AWS Cloud WAN コアネットワークと AWS Transit Gateway ネットワークを一元的に管理できます。

  4. IAM Access Analyzer
    最小特権の達成は、要件の進化に合わせてきめ細かな許可を付与するための継続的なサイクルです。AWS Identity and Access Management (IAM) Access Analyzer は、このサイクルの各ステップを通じて、許可の設定、検証、絞り込みを実行するのをサポートします。

  5. VPC Reachability Analyzer
    Reachability Analyzer は、仮想プライベートクラウド (VPC) のソースリソースとターゲットリソース間の接続テストを実行できるようにする設定分析ツールです。

コンプライアンスと監査

  1. Artifact
    ISO や PCI レポートなどの AWS セキュリティレポートをオンラインでダウンロードできるサービスです。

  2. AWS Audit Manager
    AWS Audit Manager は、AWS の使用状況を継続的に監査し、規制や業界標準に関するリスクやコンプライアンスの評価方法を簡素化するのに役立ちます。

  3. AWS Backup
    AWS リソースの自動バックアップをスケジュールできるサービスです。組織のアカウント全体のリソースにバックアップ計画を自動的に適用するポリシーを作成できます。

  4. AWS Control Tower
    AWS Control Tower では、規範的なベストプラクティスに従って、AWS マルチアカウント環境を簡単に設定および管理できます。

  5. CloudTrail
    AWS アカウントのガバナンス、コンプライアンス、および運用とリスクの監査を行えるように支援するサービスです。

  6. Config
    AWS リソースの設定を診断、監査、評価できるようにするサービスです。AWS リソース設定を継続的にモニタリングし、記録します。

  7. Tag policies
    組織のアカウントのリソース全体でタグを標準化するのに役立つポリシーです。

リソース管理

  1. Amazon Q
    Amazon Q はコードを生成、テスト、デバッグします。デベロッパーのリクエストから生成された新しいコードを変換して実装できる、多段階の計画および推論機能を備えています。また、Amazon Q はエンタープライズデータリポジトリに接続して分析するため、従業員はビジネスデータ全体の質問に対する回答を簡単に取得することができます。

  2. AWS Application Migration Service
    AWS Application Migration Service (MGN) は高度に自動化されたリフトアンドシフト (リホスト) ソリューションで、アプリケーションを AWS に移行する作業を簡略化し、迅速化し、コストを削減します。これにより、企業は互換性の問題、パフォーマンスの低下、または長いカットオーバー期間なしに、多数の物理、仮想、またはクラウドサーバーをリフトアンドシフトできます。

  3. AWS Health
    AWS Health では、リソースのパフォーマンスや、AWS のサービスおよびアカウントの可用性を継続的に把握できます。AWS Health は、AWS のリソースとサービスが問題によって影響を受ける場合、または今後の変更によって影響を受けることが予定される場合に、イベントを配信します。AWS Health の組織ビュー機能を使用して、組織内で発生するあらゆるイベントを把握できます。また、AWS Health API を使用して、プログラムで情報にアクセスすることもできます。

  4. AWS License Manager - Linux subscriptions
    AWS License Manager - Linux サブスクリプションでは、AWS で所有および実行する商用 Linux サブスクリプションを表示および管理できます。ライセンスの使用状況は、AWS Organizations の AWS リージョンおよびアカウント全体で追跡できます。

  5. AWS Marketplace - License Management
    お客様がビジネスの構築と運営に役立てることができるソフトウェアソリューションを検索、テスト、購入、およびデプロイできる、厳選されたデジタルカタログを提供するサービス。

  6. AWS Marketplace Private Marketplace
    AWS Marketplace で入手可能な幅広い製品カタログと、それらの製品をきめ細かく管理できます。

  7. AWS Resource Explorer
    AWS Resource Explorer は、リソースの検索および検出を行うサービスです。Resource Explorer を使用すると、インターネット検索エンジンのようなエクスペリエンスで Amazon Elastic Compute Cloud インスタンス、Amazon Kinesis Data Streams、Amazon DynamoDB テーブルなどのリソースを調べることができます。

  8. AWS Trusted Advisor
    AWS Trusted Advisor は、お客様の AWS 環境を検査し、コスト削減、システムの可用性とパフォーマンスの向上、またはセキュリティギャップの改善につながる機会がある場合に、レコメンデーションを提供します。

  9. CloudFormation StackSets
    AWS CloudFormation の拡張機能で、1 回の操作で複数のアカウントとリージョンにまたがるスタックを作成、更新、または削除できるようにします。

  10. Compute Optimizer
    リソースの履歴使用率メトリクスの分析に基づいて、最適な AWS コンピューティングリソースを推奨するサービスです。

  11. Cost Optimization Hub
    Cost Optimization Hub では、AWS アカウントと AWS リージョンの全体で AWS コスト最適化の推奨事項を簡単に識別、フィルタリング、集計できます。リソースの適切なサイズ設定、アイドル状態のリソースの削除、Savings Plans、リザーブドインスタンスに関する推奨事項が表示されます。1 つのダッシュボードがあれば、コスト最適化の機会を特定するために複数の AWS 製品にアクセスする必要がなくなります。

  12. Directory Service
    組織の信頼された他の AWS アカウント間で AWS Managed Microsoft AD ディレクトリを共有できるようにするサービスです。

  13. License Manager
    ソフトウェアベンダーのライセンスをクラウドに移動するプロセスを合理化するサービスです。

  14. RAM
    お客様が所有している AWS リソースを他の AWS アカウントと共有できるようにするサービスです。

  15. S3 Storage Lens
    使用状況とアクティビティメトリクスを集計し、Amazon S3 コンソールのインタラクティブなダッシュボード、または CSV もしくは Parquet 形式でダウンロードできるメトリクスデータエクスポートを通じて情報を表示するサービス。

  16. Service Catalog
    AWS での使用が承認された IT サービスのカタログを作成および管理できるサービスです。

  17. Service Quotas
    Service Quotas は、クォータを一元的に表示および管理できるようにする AWS のサービスです。制限とも呼ばれるクォータは、AWS アカウントのリソース、アクション、および項目の最大値です。

  18. Systems Manager
    AWS リソースの視覚化とコントロールを可能にするサービスです。

セキュリティ

  1. Amazon Detective
    Amazon Detective を使用すると、潜在的なセキュリティ上の問題や疑わしいアクティビティの根本原因の分析、調査、迅速な特定が簡単になります。Amazon Detective は AWS リソースからログデータを自動的に収集し、リンクされたデータセットを構築して、より迅速かつ効率的なセキュリティ調査を簡単に実施できるようにします。

  2. Amazon DevOps Guru
    Amazon DevOps Guru では、機械学習を使用して運用データを分析し、通常の運用パターンから逸脱した動作を特定します。運用上の問題が特定されると、DevOps Guru から通知されるため、リソースを改善するためのレコメンデーションを実装できます。

  3. Amazon GuardDuty
    Amazon GuardDuty は、継続的なセキュリティモニタリングサービスです。Amazon GuardDuty は、AWS 環境で予期しない潜在的に不正なアクティビティや悪意のあるアクティビティを識別するのに役立ちます。

  4. Amazon Inspector
    Amazon Inspector は Amazon EC2 インスタンス、コンテナ、Lambda 関数などのワークロードを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークへの露出がないかスキャンします。

  5. Amazon Macie
    Amazon Macie は、機械学習とパターンマッチングを使用して Amazon S3 の機密データを検出、分類、保護する完全マネージド型のデータセキュリティおよびデータプライバシーサービスです。

  6. Amazon Security Lake
    Amazon Security Lake は、フルマネージド型のセキュリティデータレイクサービスです。Security Lake は、セキュリティ関連のログとイベントデータを大規模に集約して一元管理するのに役立ちます。

  7. Firewall Manager
    アカウントおよび複数のリソース間で AWS WAF 管理およびメンテナンスタスクの簡略化を支援するサービスです。Firewall Manager を使用して 1 回のみファイアウォールルールを設定すると、アカウント間で新しいリソースを含めすべてのリソースに対して自動的にそのルールが適用されます。

  8. Security Hub
    AWS Security Hub では、AWS リソースのセキュリティ状態を包括的に把握できます。Security Hub は、該当するすべての AWS アカウントとサービスからセキュリティデータを収集し、セキュリティ傾向を分析して AWS 環境全体のセキュリティの問題を特定し、優先順位を設定するのに役立ちます。

その他(上記のいずれにも該当しない)

  1. AWS Account Management
    サービスアクセスと AWS アカウントの統合により、お客様は組織を使用してアカウント情報とメタデータをプログラムで変更できます。

Discussion