Zenn
MIXI DEVELOPERS
🏃‍♂️

AWS Organizations すべての機能有効化までの道のり

yhamano0312
2024/12/15に公開
AWS
tech

本記事は MIXI DEVELOPERS Advent Calendar 2024 のシリーズ2 15日目の記事です。
サロンスタッフ予約サービス minimo のソフトウェアエンジニアをしている yhamano0312 です。

minimo に異動してくる前は事業部横断でエンジニアリングを支援する部署に所属していたのですが、その時に実施した AWS Organizations のすべての機能有効化をどのように進めたか紹介します。

AWS Organizations とは

部署、プロダクト、用途によって AWS を利用する上でのセキュリティレベルや運用方法は大きく異なります。それらワークロード毎にアカウントを分けるマルチアカウント構成を AWS としても推奨しています。これら複数の AWS アカウントを一元管理するためのサービスとして AWS Organizations があります。1つの管理用アカウントと複数のメンバーアカウントで構成されます。

AWS Organizations における機能セット

AWS Organizations には2つの機能セットが提供されています。

  • 一括請求機能
    • AWS Organizations 内の複数アカウントの請求を1つにまとめることができます。
  • すべての機能
    • AWS Organizations と連携する様々な AWS サービスとの統合や組織ポリシーによる高度なアカウント管理が可能になります。

すべての機能には一括請求機能が含まれます。また、一括請求機能からすべての機能に変更可能ですが逆は不可です。

今回すべての機能を有効化した AWS Organizations について

今回対象の AWS Organizations には本番環境を含む複数プロダクトが稼働するメンバーアカウントが数十存在しています。この AWS Organizations は当初すべての機能の有効化がされていない状態でした。AWS としてもアカウント管理の向上を理由にすべての機能の有効化を推奨していること、すべての機能有効化が利用前提となっている AWS サービスの導入を検討していたこともありすべての機能有効化することになりました。

すべての機能有効化までの道のり

以下にすべての機能有効化するまでに行なったことや考慮したことを記載します。

影響調査

すべての機能有効化時に既存のメンバーアカウントにどのような影響が発生するかの調査から行いました。ドキュメントを読み込み、 AWS の Technical Account Manager(以下 TAM) への確認も行って、すべての機能有効化するのみであれば AWS アカウント上で稼働しているワークロードに影響は出ないと分かりました。

各メンバーアカウントの管理者へアナウンス

各メンバーアカウントの管理者が集まった slack チャンネルを作成し、すべての機能有効化の概要、目的、影響、スケジュール等を告知しました。
すべての機能を有効化して AWS Organizations と連携した AWS サービスを利用するとそのサービスを利用できるようにするために各種リソースが管理アカウントからメンバーアカウントに対して作成されます。プロダクトのセキュリティポリシーによってはそういったことも許容できないこともあると考え、許容できない場合はすべての機能がオフになっている別の AWS Organizations に移行する選択肢も用意しました。

すべての機能有効化作業

すべての機能がオフになっている AWS Organizations ですべての機能を有効化する場合は通常以下のステップを踏む必要があります。

  1. 管理アカウントですべての機能有効化プロセスを開始する
  2. メンバーアカウントですべての機能有効化を承認する
  3. 全メンバーアカウントで承認されたらすべての機能有効化が完了する

全メンバーアカウントで承認が必要なことのハードルが高く、今回対象の AWS Organizations では数十アカウント存在していたため、関係各所に依頼して承認してもらうとなると骨が折れるなと思っていました。どうにかならないか TAM に確認した所、Enterprise 契約限定でアシスト移行なるものが利用可能で、メンバーアカウントの承認作業無しに有効化できることが分かったのでこちらを利用しました。

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html

Assisted migration is process available to Enterprise Support plan customers to request that AWS migrate their organization to the all features mode of your behalf.

アシスト移行プロセスを開始してから完了までに2,3週間かかると言われていましたが、プロセス開始からちょうど3週間後に有効化が完了していました。

さいごに

今回はすべての機能有効化するまでに行った内容を紹介しました。今まで AWS Organizations を触る機会も少なかったので、調査や作業を通して色々と学ぶことができて良かったです。
途中からすべての機能有効化を検討している方の参考になれば幸いです。

最後に

MIXI では一緒に働く仲間を募集中です!詳細は採用ページをご覧ください。
https://mixigroup-recruit.mixi.co.jp/

MIXI DEVELOPERS
MIXI DEVELOPERS

株式会社MIXIのZenn版エンジニアブログです。実務で得た技術知見や個人的に調べたことなどを紹介しています。

Discussion