👪

組織でのAWS利用はマルチアカウント構成が推奨

2024/08/25に公開

会社など組織は複数のAWSアカウントを所有できます。AWSアカウントとはAWS自体を使い始めるときに住所、名前クレジットカード等を入力して払い出すことができる、サービスを利用できる空間です。
IAMユーザーとは異なります。
組織でAWSを利用するとき、複数のアカウントを作成し、用途や機能ごとに環境を分離することが推奨されています。

https://docs.aws.amazon.com/ja_jp/accounts/latest/reference/welcome-multiple-accounts.html

AWS アカウントの基本的なセキュリティ境界として機能するAWS。これらは、有用な分離レベルを提供するリソースコンテナとして機能します。リソースとユーザーを隔離する能力は、安全で適切に管理された環境を確立するための重要な要件です。

これは AWS Organizationsを利用することで容易に実現できます。Organizationsを有効にしたアカウントをルートアカウントとして子アカウントを複数作成し、それらの料金請求を一元化できます。

最も基本的なケースは検証環境と本番環境を分けることでしょう。同一アカウントにリソースが混在していると単純に紛らわしく、最悪障害に繋がるリスクがあります。
検証・本番環境を分けることでそれらが解消できます。

公式が提示しているマルチアカウント戦略においては、共通機能を提供する共通アカウントたちと、各システムのリソースが入る個別アカウントに分けるような考えが示されています。
それを支援するためのサービス「AWS Control Tower」を利用することで、スムーズに規範に沿ったマルチアカウント構成を取る事ができます。

より詳細なマルチアカウント戦略については以下にあります。

https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html

Discussion