【グローバルサービス】
Organizations は、複数のAWSアカウントをまとめて管理できる アカウント統合管理サービス です。
管理アカウント と メンバーアカウント の構成を持ち、組織全体を統括する階層を形成します。組織内では、OU(Organizational Unit) を利用してアカウントを階層的に整理し、部門や環境ごとにポリシーを継承・適用できる 階層構造 / ポリシー継承 を実現します。
アクセス制御面では、SCP(サービスコントロールポリシー) により、IAMポリシー を超えた強力な アクセス制御 / 制限設定 が可能です。これにより、セキュリティベースライン を維持しながら、SCP適用 / リソースアクセス制御 / ガードレール設定 によって、安全かつ統制の取れたクラウド運用を行うことができます。
統合請求(Consolidated Billing) 機能を利用することで、組織全体のコストを一括管理できます。コスト配分タグ / Cost Explorer / Budgets を活用すれば、コスト分析や予算管理も容易になり、効率的なマルチアカウント運用が実現します。
重要用語
ポリシー継承
SCP
ガードレール設定
統合請求
コスト配分タグ
Cost Explorer
Budgets
関連サービス
ユースケース
| マルチアカウントのセキュリティ統制 | プロダクション用・開発用・検証用など用途ごとにアカウントを分けつつ、1つの組織としてポリシーや請求をまとめて管理する。 |
| サービスコントロールポリシーによる制限 | 特定アカウントでは危険なサービスを使用禁止にする、リージョンを制限するなど、SCPで許可の上限を定義する。 |
| セキュリティ専用アカウントの分離 | ログ保管やセキュリティ監視用の専用アカウントを用意し、他アカウントからの操作を制限することでインシデント時の影響範囲を抑える。 |
ベストプラクティス
| OU構成の計画 | 用途や部門ごとに組織単位を分けてポリシーを適用する。 |
| SCPの活用 | 全アカウント共通のガードレールとしてサービスコントロールポリシーを設定する。 |
| 集中請求管理 | 複数アカウントの請求を一元管理し、コスト最適化を行う。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・組織データストア(グローバルレプリケーション) ・ポリシードキュメント ・APIエンドポイント ・アカウント管理情報 ・信頼されたサービス設定 |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | 【Configが有効な場合】 アカウント/リージョン横断のAggregatorでコンプライアンス集約 |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 組織構成変更やメンバー追加のAPI異常検知 |
Organizations が使用する SLR の連携パターン
SLR名 : AWSServiceRoleForOrganizations
| SLR が操作するサービス | 用途 |
|---|---|
| IAM | メンバーアカウントのサービスコントロールポリシー(SCP)適用 |
| CloudTrail | 組織全体のログ記録設定 |
| Config | 組織全体の設定記録 |
| 各種AWSサービス | 組織全体での統合サービス有効化(GuardDuty、Security Hubなど) |
ログ・監視
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
制限値(固定値/ハードリミット/ソフトリミット)
| ハードリミット | 制限値 |
|---|---|
| OU(組織単位)の最大階層 | 5レベル |
| ポリシー数/ターゲット(アカウント/OU) | 20 |
| ポリシーサイズ | 5,120文字 |
| ソフトリミット | 制限値 |
|---|---|
| アカウント数/組織 | 10,000 |
| OU数/親OU | 1,000 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| AWS Organizations自体は無料 | - |