AWS Organizations とは

複数の AWS アカウントを統合するためのアカウント管理サービス。

実現できること

• AWS アカウントのグループを作成し、作成したグループにポリシーを適用して、利用サービスを制限できる
• AWS アカウントの新規作成は自動化できる
• 複数の AWS アカウントの請求を一括して、請求を簡素化できる

AWS Organizations の構成

• 管理者として使用するAWSアカウントを一つ選び、組織を作る。
• 選んだAWSアカウントはマスターアカウントとなり、組織の全体を管理する権限を持つ。
• 組織内のマスターアカウント以外はメンバーアカウントとなる
• 組織には複数AWSアカウントのグループ(OU)を作成できる。
• OUにはAWSアカウントを作成、追加することができる。
• OUからアカウントを削除した場合、アカウントは組織からは外れるが独立したたアカウントとなり、個別に請求などが開始される。アカウント自体が消されるわけではなく、使い続けれる。
• OUの開始点は管理用ルートとなる。
• 組織内の権限はポリシーで制御することができる。
• サービスコントロールポリシー(SCP)はIAMと同じ構文ルールで登録する

一括請求(Consolidated Billing)について

• ボリュームディスカウントが合算して計算される
• リザーブドインスタンスによる割引がデフォルトで共有(共有しないように設定も可能)
• 各アカウントの請求額は確認可能。リザーブドインスタンスによる割引が共有された状態での請求額となるが、使用状況レポートでは割引を共有しない場合の料金(Unblended Rate)も確認可能。

利用シーン

• AWSの支払いを代行してほしい

  • AWS Organizationsで作成したアカウントを提供するか、既存のアカウントを組織に招待して統合します
  • 代行者はマスターアカウントで利用料を支払い、費用を請求します

• プロジェクトの環境を本番、ステージング、開発の3つに分けて管理したいんだけど

  • AWS Organizationsでそれぞれの環境用のアカウントを作成しましょう

• 社員にAWSの検証環境を配布したい

  • マスターアカウントにしたいAWSアカウントで組織を作成しましょう
  • AWS Organizationsでそアカウントを作成して提供しましょう

• 組織からアカウントを削除したら使えなくなる？

  • アカウント自体は削除されないので大丈夫です
  • アカウントが独立するので個別に請求されないように注意

参考