MENU
初心者からプロまでクラウドを中心としたインフラ技術の活用方法を詳しく解説します。
  1. ホーム
  2. AWS
  3. AWS Organizations

AWS Organizations

AWS AWS認定試験

■AWS Organizations の特徴

  • AWS アカウントのすべての一元管理ができます。アカウントの作成を自動化することもできます。
  • アカウントを組織単位 (OU) にグループ化し、各 OU に異なるアクセスポリシーをアタッチすることができます。
  • 一括請求は AWS Organizations の機能です。組織の管理アカウントを使用して、すべてのメンバーアカウントを統合し、支払うことができます。
  • マスターアカウントが一括して、すべてのメンバーアカウントの請求を支払います。
  • 他の AWS のサービスと統合して Organizations を使用すれば、組織のアカウント全体の設定とリソース共有を一元的に定義できます。
  • すべての AWS のユーザーは、追加料金なしで AWS Organizations を利用できます。

 

 

 

■AWS Organizations を利用することによるメリット

  • AWS Organizations の一括請求を使用することで、S3 を統合することができ、毎月かかるストレージの合計コストを安く抑えられることができます。

 

 

OU(組織単位)

  • OU は AWS アカウントをグループ化する単位です。

 

 

SCP(サービスコントロールポリシー)

■SCP(サービスコントロールポリシー)の特徴

  • 組織(Organization Unit、OU)のアクセス許可の管理に使用できる組織ポリシーです。
  • 組織のすべての AWS アカウントで使用可能な最大アクセス許可を一元的に制御できます。
  • アカウントが組織のアクセスコントロールガイドラインに従っていることを確認するのに役立ちます。
  • SCP はすべての機能が有効になっている組織でのみ使用できます。
  • SCP は組織ルート、OU、AWS アカウントに対して割り当てることができます。
  • ポリシーは継承して適用されます。
  • SCP は OU に対してデフォルトでフルアクセス権限が付与されています。

 

 

SCP の設定が影響されない箇所

SCP(サービスコントロールポリシー)の設定により一元的に組織(アカウント)を管理できますが、サービスにリンクされた IAM ロールには影響しません。

IAM ロールはアカウントではなくロールあり、アカウントに代わってサービスから他のサービスを呼び出す構造のためとなります。

 

 

 

メンバーアカウントの作成と権限

AWS Organizations コンソールを使用してメンバーアカウントを作成すると、アカウントの IAM ロールの権限である OrganizationAccountAccessRole が自動的に作成されます。

このロールには、メンバーアカウントの完全な管理権限が含まれます。

逆に既存のアカウントをメンバーアカウントに設定する場合は、OrganizationAccountAccessRole が自動的に割り当てられないので改めて割り当てをする必要があります。

 

  • マスターアカウント ← AWS Organizations での管理者
  • メンバーアカウント ← AWS Organizations で管理されるアカウント

 

 

メンバーアカウントを削除する場合

組織が変更された場合は AWS Organizations からメンバーアカウントを削除することができます。

ただし削除する前にメンバーアカウントでの請求を IAM ユーザーアクセスで有効にした後でないとメンバーアカウントを削除できません。

 

 

 

 

マスターアカウントで一括してメンバーアカウントの設定が可能

AWS Organizations を利用することでメンバーアカウントに対して1つ1つ設定をしなくてもマスターアカウントで一括してメンバーアカウントの設定が可能です。

例えば監査の設定をしなければいけない場合、メンバーアカウントに対して1つ1つ設定をしなくてもマスターアカウントで一括してメンバーアカウントに対して CloudTrail の設定をすることが可能です。

これにより設定もれをなくすことができます。

 

 

組織の証跡

AWS Organizations で組織を作成した場合は、その組織内のすべての AWS アカウントのすべてのイベントを記録する証跡を作成できます。

これを「組織の証跡」と呼びます。

組織の証跡を設定すると、組織内のマスターアカウントとすべてのメンバーアカウントの CloudTrail イベントを同じ Amazon S3 バケット、CloudWatch Logs、CloudWatch イベントに配信できるようになります。

 

 

 

AWS 認定試験の勉強方法

最近はコロナ禍という状況が影響しているのかどうか分かりませんが、勉強や学習意欲が非常に高くなっています。

インフラエンジニアとして AWS をメインに業務を行っていることもあり、毎日 AWS 認定試験の試験勉強をしています。

資格について IT エンジニアの場合は実績が重要なので資格は必要ないという意見もありますが、個人的には資格取得の勉強をすることにより

  • 自分が知らない分野の知識やスキルが身につく
  • 食わず嫌いで今まで取り組んでこなかった知識が身につくので業務を改善する新しいアイデアが生まれる
  • 業務が捗る

というメリットを感じています。

 

 

AWS 認定試験についは、Udemy を利用して飽きずに楽しく勉強しています。

世界最大級のオンライン学習サイトUdemy

 

■Udemy のメリット

大量に問題があるので、飽きずに楽しく勉強ができます。

私の場合はテキストを読んで勉強することが非常に苦手ですぐに飽きてしまします。

しかし Udemy の大量の模擬試験問題集を解き、解答を確認して、不明な点は AWS の公式サイトを確認して学習しているので、集中して学習を続けることができます。

とにかく大量の問題を解くことが私にとって学習を続けられる唯一の方法のような気がします。

 

ちなみに Udemy ではたまにプレゼント企画もやっています。

先日は1つの講座を申し込んだ際に「How to Learn: Effective Approaches for Self-Guided Learning」の講座を無料で受講することが出来ました。

 

 

 

 

 

 

 

 

 

AWS AWS認定試験
AWS AWS Organizations AWS認定試験
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

サイト管理人

関連記事

コメント

コメントする

AlphaOmega Captcha Medica  –  What Do You See?
      
 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください