👪
組織でのAWS利用はマルチアカウント構成が推奨
会社など組織は複数のAWSアカウントを所有できます。AWSアカウントとはAWS自体を使い始めるときに住所、名前クレジットカード等を入力して払い出すことができる、サービスを利用できる空間です。
IAMユーザーとは異なります。
組織でAWSを利用するとき、複数のアカウントを作成し、用途や機能ごとに環境を分離することが推奨されています。
AWS アカウントの基本的なセキュリティ境界として機能するAWS。これらは、有用な分離レベルを提供するリソースコンテナとして機能します。リソースとユーザーを隔離する能力は、安全で適切に管理された環境を確立するための重要な要件です。
これは AWS Organizationsを利用することで容易に実現できます。Organizationsを有効にしたアカウントをルートアカウントとして子アカウントを複数作成し、それらの料金請求を一元化できます。
最も基本的なケースは検証環境と本番環境を分けることでしょう。同一アカウントにリソースが混在していると単純に紛らわしく、最悪障害に繋がるリスクがあります。
検証・本番環境を分けることでそれらが解消できます。
公式が提示しているマルチアカウント戦略においては、共通機能を提供する共通アカウントたちと、各システムのリソースが入る個別アカウントに分けるような考えが示されています。
それを支援するためのサービス「AWS Control Tower」を利用することで、スムーズに規範に沿ったマルチアカウント構成を取る事ができます。
より詳細なマルチアカウント戦略については以下にあります。
Discussion