AWS Organizations
複数の AWS アカウントを一元管理し、ガバナンスとコスト最適化を実現するサービス
何ができるか
AWS Organizations は、複数の AWS アカウントを組織 (Organization) としてまとめて管理するサービスです。アカウントの作成・招待、組織単位 (OU) によるグループ化、サービスコントロールポリシー (SCP) による権限の一括制御が可能です。すべてのアカウントの請求を一括請求 (Consolidated Billing) に統合することで、ボリュームディスカウントの恩恵を受けられます。追加料金なしで利用でき、AWS のマルチアカウント戦略の基盤となるサービスです。
どのような場面で使うか
本番環境・開発環境・ステージング環境のアカウント分離、部門やプロジェクトごとのアカウント管理、SCP によるセキュリティガードレールの適用、一括請求によるコスト管理と配分、AWS Control Tower との連携による Landing Zone の構築、リザーブドインスタンスや Savings Plans の組織全体での共有など、エンタープライズ規模の AWS 運用で活用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。
身近な例え
企業グループの持株会社に例えるとわかりやすいでしょう。各子会社 (AWS アカウント) は独立して事業を運営しますが、持株会社 (Organizations) がグループ全体の方針 (SCP) を定め、経理 (一括請求) を統括します。子会社の設立も持株会社が一括で行い、事業部門 (OU) ごとに異なるルールを適用できます。
Organizations とは
AWS Organizations は、AWS のマルチアカウント管理の中核を担うサービスです。1 つの管理アカウント (Management Account) を頂点として、複数のメンバーアカウントを階層的に管理します。アカウントを組織単位 (OU: Organizational Unit) にグループ化し、OU ごとに異なるポリシーを適用できます。たとえば、本番環境 OU には厳格なセキュリティポリシーを、開発環境 OU にはより柔軟なポリシーを設定するといった運用が可能です。
サービスコントロールポリシー (SCP)
SCP は Organizations の最も強力な機能の 1 つです。SCP を使うと、メンバーアカウントで利用可能な AWS サービスやアクションの上限を組織レベルで制御できます。たとえば、特定のリージョン以外でのリソース作成を禁止したり、高コストなインスタンスタイプの起動を制限したりできます。SCP は IAM ポリシーとは異なり、アカウント内のすべてのユーザーとロール (ルートユーザーを含む) に適用されるため、セキュリティガードレールとして機能します。ただし、SCP 自体は権限を付与するものではなく、あくまで権限の上限を定義するものです。
一括請求とコスト最適化
Organizations の一括請求機能により、すべてのメンバーアカウントの利用料金が管理アカウントに集約されます。これにより、組織全体の利用量に基づくボリュームディスカウント (S3 や EC2 のティア料金) が自動的に適用されます。リザーブドインスタンスや Savings Plans を組織内のアカウント間で共有することも可能で、未使用の予約容量を他のアカウントが活用できます。AWS Cost Explorer や AWS Budgets と連携して、OU やアカウント単位でのコスト分析・予算管理も実現できます。
Azure・オンプレミスとの比較
AWS の優位点
- SCP によりルートユーザーを含むアカウント内のすべてのプリンシパルに対して権限の上限を強制でき、オンプレミスでは実現困難な組織レベルのガードレールを構築できる
- 一括請求によりボリュームディスカウントとリザーブドインスタンスの組織共有が自動適用され、個別アカウント運用と比較して大幅なコスト削減が見込める
- AWS Control Tower や AWS Config と統合することで、数百アカウント規模の Landing Zone を自動構築し、コンプライアンスの継続的な監視を実現できる
注意点
- 管理アカウントには本番ワークロードを配置せず、組織管理専用として運用することが AWS のベストプラクティスとして推奨されている
- SCP の設計ミスにより正当な操作がブロックされるリスクがあるため、本番適用前に必ずテスト OU で検証すること
さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。