運用管理

AWS Organizations で実現するマルチアカウント管理 - OU 設計と SCP によるガバナンス

OU 階層の設計と SCP によるアクセス制御でマルチアカウント環境のガバナンスを確立する。一括請求によるコスト管理も紹介します。

約 1 分で読めます

Organizations の概要

Organizations は最大数千の AWS アカウントを一元管理するサービスです。単一アカウントで全環境を運用するとセキュリティ境界が曖昧になり、請求の分離も困難です。Organizations でアカウントを分離し、OU 階層でグループ化することで、環境ごとのセキュリティ境界と請求の分離を実現します。

SCP と一括請求

SCP は OU またはアカウントに適用するアクセス制御ポリシーで、IAM ポリシーの上限を設定します。例えば本番 OU に「特定リージョン以外の使用を禁止」する SCP を適用すると、配下のアカウントでは IAM で許可されていても制限リージョンのリソースを作成できません。一括請求では組織内の全アカウントの使用量が合算され、S3 や EC2 のボリュームディスカウントが適用されます。RI や Savings Plans も組織内で共有され、購入アカウント以外でも割引が適用されます。

OU 設計とアカウント戦略

OU (Organizational Unit) の設計はセキュリティ境界とガバナンスの基盤です。推奨される OU 構造は、 Security OU (ログアーカイブ、セキュリティ監査)、 Infrastructure OU (ネットワーク、共有サービス)、 Workloads OU (本番、開発、ステージング)、 Sandbox OU (実験用) です。 SCP は OU に適用し、配下の全アカウントに継承されます。委任管理者機能で、セキュリティ関連のサービス (GuardDutySecurity HubConfig) の管理をセキュリティアカウントに委任し、管理アカウントの操作を最小限に保ちます。タグポリシーで全アカウントのリソースタグを標準化し、コスト配分の精度を向上させます。 Organizations の基礎から応用まで、書籍 (Amazon)で体系的に学べます。

Organizations の料金

Organizations 自体に追加料金は発生しません。一括請求でメンバーアカウントの使用量が集約され、ボリュームディスカウントの恩恵を受けられます。RI と Savings Plans の共有を有効にすると、購入アカウント以外のアカウントでも割引が適用されます。アカウント数が増えると、各アカウントで有効化されるサービス (CloudTrailConfig、GuardDuty) のコストが積み上がるため、必要なサービスのみを有効化する方針を OU レベルで管理します。

まとめ

Organizations はマルチアカウント環境のガバナンスとコスト管理を一元化するサービスです。OU 階層と SCP でセキュリティ境界を確立し、委任管理者機能でセキュリティサービスの管理を専用アカウントに委任します。一括請求でボリュームディスカウントと RI/Savings Plans の共有を活用し、タグポリシーで組織全体のリソースタグを標準化します。

関連するサービス

AWS Organizations複数の AWS アカウントを一元管理するサービスAWS Control Towerマルチアカウント環境のセットアップとガバナンスを自動化するサービスAWS ConfigAWS リソースの構成変更を記録・評価し、コンプライアンスを継続的に監視するサービス

関連する記事

AWS Control Tower で構築するマルチアカウント環境 - ランディングゾーンとガードレールランディングゾーンの自動構築とガードレールによるポリシー適用で、マルチアカウント環境のガバナンスを確立する。Account Factory によるアカウント自動作成も紹介します。AWS Control Tower でマルチアカウント環境を構築 - ランディングゾーンとガードレールベストプラクティスに基づくマルチアカウント環境を自動構築し、400 以上のガードレールでコンプライアンスを継続的に維持する。Account Factory と Customizations for Control Tower による拡張手法を解説します。AWS Directory Service で構築するマネージド Active Directory - ハイブリッド環境の ID 管理AWS Managed Microsoft AD の構築とオンプレミス AD との信頼関係を設計する。WorkSpaces・RDS・FSx との統合によるハイブリッド ID 管理を紹介します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

内容が近い記事・サービス

AWS Organizations複数の AWS アカウントを組織として一元管理し、請求統合やサービスコントロールポリシーで統制を効かせるアカウント管理サービスマルチアカウント管理 - AWS Organizations と RAM で実現する組織全体のガバナンスOrganizations の委任管理者モデルで CloudTrail・Config・GuardDuty・Security Hub を全アカウントに一括展開し、セキュリティとコンプライアンスの統合管理を実現する方法を解説します。マルチアカウント戦略と AWS Organizations - クラウドガバナンスの最適解Organizations の OU 階層設計と SCP によるガバナンス制御で、セキュリティ境界の確立とコスト配分の最適化を実現する。Control Tower のガードレールと統合請求によるマルチアカウント運用の全体像を解説します。AWS Organizations の一括請求 (Consolidated Billing) の利点はどれですか?