コンテンツにスキップ

AWS Organizations

1. サービス概要

AWS Organizations は、複数の AWS アカウントを一元的に管理するためのサービスである。
ユーザーは、組織を作成し、アカウントを組織に招待したり、新しいアカウントを作成したり、アカウントをグループ化して管理できる。
AWS Organizations は、組織全体でのリソースアクセス制御、セキュリティポリシー適用、コスト管理などを効率的に行うための機能を提供する。

主なユースケースとして、

  • 複数 AWS アカウントの一元管理
  • 組織全体でのセキュリティポリシー適用
  • 請求の一元化
  • リソースアクセスの管理
  • コンプライアンス要件の遵守

などが挙げられる。
AWS Organizations は、これらのユースケースに対応するための様々な機能と、AWS の他のサービスとの統合を提供する。

2. 主な特徴と機能

2.1 組織構造の管理

AWS Organizations は、組織単位(OU)を使用して、AWS アカウントをグループ化し、階層的に管理できる。
OU は、部門、チーム、環境などでアカウントを整理するのに役立つ。

2.2 サービスコントロールポリシー (SCP)

SCP は、組織、OU、またはアカウントに適用できるポリシーであり、AWS リソースへのアクセスを制限する。
これにより、組織全体で一貫したセキュリティポリシーを適用し、コンプライアンスを確保できる。

2.3 一元的な請求管理

組織内のすべてのアカウントの請求を、一元的に管理できる。
統合請求により、請求を簡素化し、割引やリザーブドインスタンスなどのコストメリットを組織全体で共有できる。

2.4 アカウントの一元的な作成と管理

AWS Organizations を通じて、新しい AWS アカウントを簡単に作成し、組織に招待できる。
これにより、アカウントのプロビジョニングと管理を効率化できる。

2.5 信頼されたアクセス

AWS Organizations と特定の AWS サービス (例:AWS Config, AWS Security Hub など) を統合することで、組織全体のリソースを管理する権限を委任できる。

2.6 API サポート

AWS Organizations API を利用して、組織の管理や自動化を行うことができる。
これにより、組織のプロビジョニング、アカウント管理、ポリシー適用などを自動化できる。

2.7 統合性と拡張性

AWS Organizations は、AWS IAM, AWS Control Tower, AWS Config, AWS Security Hub などの AWS の他のサービスと密接に統合されている。
これにより、組織全体のリソース管理、セキュリティ、コンプライアンスを強化できる。

3. アーキテクチャおよび技術要素

  1. ユーザーは、AWS Organizations で組織を作成し、ルートアカウントを設定。
  2. 組織内に、組織単位(OU)を作成し、アカウントを OU に配置。
  3. サービスコントロールポリシー(SCP)を作成し、OU またはアカウントに適用。
  4. 組織に新しい AWS アカウントを作成または招待。
  5. AWS のサービスは、Organizations の情報を利用して、アカウント間のアクセスを制御。

AWS Organizations は、AWS のインフラ上に構築されており、高い可用性とスケーラビリティを提供する。
組織の管理やポリシーの適用は AWS が行うため、ユーザーはインフラの管理を行う必要はない。

4. セキュリティと認証・認可

AWS Organizations は、組織全体のリソースのセキュリティを確保するために、以下の機能を提供します:

  • IAM 統合: AWS Identity and Access Management (IAM) を利用して、Organizations へのアクセスを制御する。
  • サービスコントロールポリシー (SCP): SCP を利用して、組織全体のリソースに対するアクセスを制限し、ガードレールを適用。
  • アクセス制御: IAM ポリシーを通じて、ユーザーやグループごとに、Organizations の操作権限を詳細に制御できる。
  • データ保護: 組織の情報、ポリシー、アカウントデータなどは暗号化される。
  • 監査ログ: CloudTrail を通じて、Organizations の利用状況を監査できる。

これらのセキュリティ対策により、組織全体のセキュリティを強化し、不正アクセスを防止できる。

5. 料金形態

AWS Organizations は、無料で利用できるサービスである。

ただし、Organizations で管理する AWS アカウントで利用する、他の AWS サービスの料金は発生する。

6. よくあるアーキテクチャ・設計パターン

AWS Organizations は、様々な AWS 環境で利用できる。一般的なパターンは以下の通りです:

  • 複数 AWS アカウントの一元管理: 複数の AWS アカウントを組織として統合し、一元的に管理。
  • 組織全体でのセキュリティポリシー適用: サービスコントロールポリシー(SCP)を適用し、組織全体で一貫したセキュリティポリシーを適用。
  • 請求の一元化: 組織内のすべてのアカウントの請求を、一元的に管理し、コストを最適化。
  • リソースアクセスの管理: IAM ポリシーと SCP を組み合わせて、リソースへのアクセスを制御。
  • コンプライアンス要件の遵守: 業界や法規制のコンプライアンス要件を満たすためのリソース設定を強制。
  • 大規模な AWS 環境の管理: 大規模な AWS 環境を組織化し、部門やチームごとに管理。

7. 設定・デプロイ手順(ハンズオン例)

  1. AWS マネジメントコンソールから AWS Organizations を開き、組織を作成。
  2. 組織単位 (OU) を作成し、AWS アカウントを OU に移動。
  3. サービスコントロールポリシー (SCP) を作成し、OU またはアカウントに適用。
  4. 新しい AWS アカウントを作成または組織に招待。
  5. 統合請求を設定し、組織全体での請求情報を確認。

8. 試験で問われやすいポイント

8.1 組織構造の管理

  • 構成要素: 組織単位 (OU)。
  • 機能: AWS アカウントをグループ化し、階層的に管理。
  • 試験対策: OU の役割、利用方法が問われる。

8.2 サービスコントロールポリシー (SCP)

  • 定義: リソースへのアクセスを制限するポリシー。
  • 利用: 組織全体で一貫したセキュリティポリシーを適用。
  • 試験対策: SCP の役割、適用範囲が問われる。

8.3 一元的な請求管理

  • 機能: 組織内のすべてのアカウントの請求を一元的に管理。
  • 目的: 請求を簡素化し、コストメリットを組織全体で共有。
  • 試験対策: 統合請求のメリット、設定方法が問われる。

8.4 アカウントの一元的な作成と管理

  • 機能: 新しい AWS アカウントの作成、既存アカウントの組織への招待。
  • 目的: アカウントのプロビジョニングと管理を効率化。
  • 試験対策: アカウントの作成と管理方法、利用ケースが問われる。

8.5 料金体系

  • 料金: AWS Organizations 自体は無料。
  • 関連料金: Organizations で管理する AWS アカウントで利用する他のサービス料金が発生。
  • 試験対策: 料金体系、関連サービスの料金が問われる。

8.6 類似・関連サービスとの比較

  • AWS IAM: AWS リソースへのアクセス制御に特化。Organizations は複数アカウントの一元管理に特化。
  • AWS Control Tower: 組織のセットアップと管理を自動化するサービス。Organizations は組織構造の管理に特化。

8.7 試験で頻出となる具体的な問われ方と答え

  • Q: AWS Organizations は何を提供するサービスですか?
  • A: 複数の AWS アカウントを一元的に管理するためのサービスである。
  • Q: AWS Organizations の組織単位 (OU) とは何ですか?
  • A: AWS アカウントをグループ化し、階層的に管理するためのコンテナである。
  • Q: AWS Organizations のサービスコントロールポリシー (SCP) は、何に使用しますか?
  • A: AWS リソースへのアクセスを制限するために使用する。
  • Q: AWS Organizations を利用するメリットは?
  • A: 組織全体でのリソースアクセス制御、セキュリティポリシー適用、請求の一元化、リソースアクセスの管理などが容易になる。
  • Q: AWS Organizations 自体の利用料金は?
  • A: 無料で利用できる。