Database Support Blog

  • AWS
2022.05.19

AWS Organizationsとは?その仕組みと実現できること、ユースケースを解説

AWS Organizations

シンプルなWebサイトの構築からビッグデータを用いた先進的なデータ活用まで、様々な分野でクラウドサービスの利用が拡大しています。その中でもトップシェアを誇るのが「AWS(Amazon Web Services)」です。AWSには200種類以上のサービスが存在し、多くの企業が多種多様な用途で利用しています。

AWSの活用が進むにつれて大きな課題となってきているのが、企業内のAWSアカウント管理です。
AWSではセキュリティなどの観点から、システムや本番/検証/開発環境ごとにAWSアカウントを分離することが推奨されています。そのため、AWSの利用が進むほど社内のAWSアカウントが膨大となり、そのアカウントの管理や統制の問題が顕在化します。

AWS Organizationsは、こうした「AWSのマルチアカウントの課題を解決」するAWSサービスです。本稿では、AWS Organizationsの仕組みから、解決できる課題、ユースケースについて幅広く解説します。


アシストのAmazon Organizations関連サービス

<手数料無料>「AWS請求代行サービス(マルチアカウント管理機能対応版)」
今回ご紹介するAmazon OrganizationsやControl Towerを用いて、必須のセキュリティ設定をセットアップした状態でご提供が可能です。
お客様は各機能を利用して、要件にあわせたマルチアカウント管理をすぐに開始できます。

また、お客様のご要望に合わせたセットアップやレクチャーなどの支援もご用意しています。
お気軽にご相談ください。

 


AWS Organizationsとは

AWS Organizationsとは、複数のAWSアカウントを一元管理できるAWSのサービスです。複数のAWSアカウントをグループ化し、そのグループごとに共通のポリシー(して良いこと、悪いこと)を設定することができます。

例えば、企業内の部署ごとにAWSアカウントをグループ化し、「このAWSサービスはA部署では利用できるがB部署では利用させない」というような設定も簡単に行えます。このように、アカウント個別にではなく、グループごとにポリシー設定し、統制できることがAWS Organizationsの特長です。AWS Organizationsを正しく利用すると、AWSの複数アカウントを非常に効率的に管理できます。


AWS Organizationsの仕組み

AWS Organizationsでは、複数のAWSアカウントを「組織」として管理します。組織内のAWSアカウントは「管理アカウント(マネジメントアカウント)」と「メンバーアカウント」に分けられます。

管理アカウントは組織全体の管理権限を持ち、1つの組織に1つだけ存在します。管理アカウント以外は、全てメンバーアカウントです。管理アカウントは「親アカウント」と表現されることもあり、「子アカウント」であるメンバーアカウントを統括して管理します。

組織内では、複数のメンバーアカウントを「組織単位(OU)」としてグループ化できます。OUごとにサービスコントロールポリシー(SCP)を用いて、そのOUでできることできないこと(権限)を適用できます。また、管理アカウントでは組織全体に反映するSCPを設定することも可能です。

以下の図の例で、管理アカウントのSCPで設定された権限は、この組織全体で有効となります。OU(OU-A部署とOU-B部署)のそれぞれに設定したSCPは、各OUのAWSアカウントで有効となります。

AWS Organizationsの概要図

図:AWS Organizationsで構成する管理アカウントとメンバーアカウントの概要図


AWS Organizationsでできること

もう少し詳しくAWS Organizationsの機能を確認していきましょう。ここでは、大きく4つをピックアップしてご紹介します。

  • AWSアカウントの一元管理
  • 新規アカウントの作成・管理
  • 請求とコストの一元管理
  • アカウント間のリソース共有

AWSアカウントの一元管理

既に解説してきた通り、AWS OrganizationsではAWSアカウントを一元管理できます。組織単位(OU)を定義し、部署などのグループ単位でサービスコントロールポリシー(SCP)を設定できます。


新規アカウントの作成・管理

従来、アカウントを新規作成する際はクレジットカードの登録や各種認証などの対応が必要ですが、AWS Organizationsでは管理アカウントで簡単にAWSアカウント(メンバーアカウント)を作成できます。作成したAWSアカウントは同一組織内のメンバーアカウントとなります。また、所属するOUを指定することで、他のAWSアカウントと同様のポリシーを自動的に適用させることも可能です。
なお、別の組織に所属するメンバーアカウントを自分の組織に招待したり、自組織からメンバーアカウントを離脱させることも可能です。


請求とコストの一元管理

通常、AWSの請求単位はAWSアカウントです。しかし、AWS Organizationsでは、その組織のAWS利用料金を管理アカウントで一元管理することが可能です。AWSからの請求は管理アカウントにまとめて行われます。組織全体のAWS利用料はもちろん、AWSアカウント単位、サービス単位でもコストを把握できるため、コストの最適化が容易となります。
なお、AWSのいくつかのサービス(Amazon S3など)は利用ボリュームが多いほど価格が安くなるボリュームディスカウントが用意されています。通常これはアカウントに計算されますが、AWS Organizationsを利用していると、組織全体の利用ボリュームでディスカウントが適用されるため、AWS利用料の削減につながります。


アカウント間のリソース共有

AWS Organizationsの組織内で、AWS Resource Access Manager(AWS RAM)を用いるとAWSアカウント間やOU間でリソースの共有を行えるようになります。これによって、共有できるリソースを複数アカウント個別で作成する必要はなくなり、運用上のオーバーヘッドが削減されます。


AWS Organizationsの料金

AWS Organizations自体の機能(OUやSCPなど)は、無料で利用できるのも大きな魅力です。
ただし、AWS Organizationsが連携して利用する各種サービスや組織内で作成したAWSアカウントが利用したリソースは、使用量に応じて課金が発生します。


AWS Organizationsの設定方法

続いてAWS Organizationsで新しい組織を構成する例をご紹介します。前提として、事前に管理アカウントとして利用するAWSアカウントを用意しておく必要があります。
※画面イメージは記事公開(2022年4月)時点のものです。アップデートによりUIに変更がある場合があります。

①管理アカウントとなるAWSアカウントでAWSマネジメントコンソールにアクセスし、AWS Organizationsを起動します。「組織を作成する」をクリックするだけで「組織」を作成できます。

AWS Organizationsの設定方法


②組織を作成した時点では、管理アカウントだけが所属した状態となっています。「AWSアカウントを追加」をクリックします。

AWS Organizationsの設定方法


③組織にメンバーアカウントを追加します。
AWSアカウントの名前や使用するEメールアドレスを設定するだけでアカウントを作成できます。AWSアカウント名(今回は「aws_organi_test_kka」)とメールアドレスを入力し、「AWSアカウントを作成」をクリックします。
※既存のAWSアカウントを招待することも可能です。

AWS Organizationsの設定方法


④先ほど作成した「aws_organi_test_kka」アカウントが追加されていることが確認できます。続いて、「アクション」メニューから、「組織単位」「新規作成」をクリックし、OUを作成します。

AWS Organizationsの設定方法


⑤この例では「test_ou」を作成します。組織単位名のみ設定し、「組織単位の作成」をクリックします。

AWS Organizationsの設定方法


⑥「test_ou」が作成されました。先ほど作成した「aws_organi_test_kka」アカウントを「test_ou」に移動します。アカウントを選択した状態で、「アクション」から「AWSアカウント」「移動」をクリックします。

AWS Organizationsの設定方法


⑦移動先のOUを指定した状態で「AWSアカウントの移動」をクリックします。

AWS Organizationsの設定方法


⑧「test_ou」配下にアカウントが移動したことが確認できます。続いて、「test_ou」にSCP(サービスコントロールポリシー)を設定します。左メニューの「ポリシー」をクリックします。

AWS Organizationsの設定方法


⑨「ポリシー」のページになるので、「サービスコントロールポリシー」をクリックします。

AWS Organizationsの設定方法


⑩次の画面で「サービスコントロールポリシー」を有効化します。有効化すると以下のページになるので「ポリシーを作成」をクリックします。

AWS Organizationsの設定方法


⑪新しいポリシーを作成します。本稿では詳細は割愛しますが、組織のルールに従って、ポリシーの内容を決めましょう。サービスコントロールポリシーは、IAMポリシーと同様にJSON形式で記述します。

AWS Organizationsの設定方法


⑫「test_policy」が追加されました。追加されたポリシーをOUにアタッチします。「アクション」で「ポリシーのアタッチ」をクリックします。

AWS Organizationsの設定方法


⑬先ほど作成した「test_ou」を選択し、「ポリシーのアタッチ」をクリックします。

AWS Organizationsの設定方法


以上、AWS Organizationsを使用して、以下の作業を確認してきました。

  • メンバーアカウント作成
  • OUの作成
  • ポリシーの作成とOUへのアタッチ

実際の画面を見ることで、AWS Organizationsを使用すると、AWSのマルチアカウントを簡単に管理できることがイメージできたのではないでしょうか。


AWS Organizationsと混乱しやすいAWSのサービス

ここまでで、AWS Organizationsの仕組みやできることについてご説明しました。
振り返りになりますが、AWS Organizationsにより以下の事項が実現できます。

  • AWSアカウントを組織単位というグループで管理し、できること/できないこと(サービスコントロールポリシー)を一元管理できる
  • ポリシーを自動的に適用させた新規アカウントを作成できる
  • 請求を管理アカウントで一元管理することができる
  • アカウント間でのリソースを共有できる

AWSには他にも、権限を管理するAWS IAMや、ガバナンスの効いたマルチアカウント環境を簡単に構築できるAWS Control Towerなどのサービスが実在します。
一度利用するとそれらの違いは明らかですが、まだ利用経験がない方はそれぞれのサービスの違いに混乱されることが多いようです。

この章では、AWS IAMやAWS Control TowerとAWS Organizationsとの違いを簡単に説明します。


AWS OrganizationsとIAMの違い

AWSで権限管理といえばIAM(AWS Identity and Access Management)を思い浮かべる方が多いでしょう。IAMは、AWSのサービスやリソースへのアクセスを制御できる機能です。例えば「このS3バケットには、Aユーザーのみアクセスを許可する」というきめ細かい権限設定を行えます。

それに対して、これまで解説してきたようにAWS OrganizationsのSCPを用いると「AWSアカウントレベル」で「できること、できないこと」を制御できます。SCPで利用を制限しているサービスは、例えAWSアカウント内のIAMで制限していなくても、利用することはできません。

サービスの使い分けをまとめると以下のようになります。
・AWS Organizations:アカウントレベルで統制を行うAWSサービス
・AWS IAM:アカウント内で細かい権限設定を行うサービス


AWS OrganizationsとAWS Control Towerの違い

「AWS Control Tower」は、2021年に東京リージョンでローンチされ、大変注目されているAWSサービスです。AWS Control Towerを利用すると、AWSのベストプラクティスに添ったLanding Zone(ランディングゾーン)という「ガバナンスの効いたマルチアカウント環境」を簡単に構築できす。

AWS Control Towerは、内部的にAWS Organizationsや各種セキュリティサービスなどを自動的にセットアップし、Landing Zoneを構築します。これまで解説してきたように、AWS Organizationsは個別で利用することもできますが、AWS Control Tower利用時には包括された形となることを理解しておきましょう(図)。

AWS Control TowerがLanding Zone構築で利用するAWSサービス

図:AWS Control TowerがLanding Zone構築で利用するAWSサービス


AWS Organizationsのユースケース

AWS Organizationsを利用して、マルチアカウントを管理するケースが増えています。代表的なユースケースを2つご紹介します。

  • 新規AWSアカウントのセットアップを簡素化したユースケース
  • ビジネスの拡大に伴い、セキュリティを担保しながら数多くのAWSアカウントを作成する工数が大きな負担となっていた。そこでAWS Organizationsを採用、社内標準のセキュリティガードレールを構築し、新規AWSアカウントに自動適用する運用とした。その結果、AWSアカウントの追加が容易となり、運用負荷の大幅な軽減に成功した。
  • 一括請求機能によりコスト管理を簡素化したユースケース
  • 多くのAWSアカウントを運用しているためコスト管理が難しく、財務部門がコストを追跡できない課題があった。それに対しAWS Organizationsの一括請求機能を利用することで、請求書が統合され、財務部門のコスト管理が容易となった。また、組織全体のコストを一元管理することで、AWS利用料のコスト削減も実現しました。

まとめ

本稿では、AWS Organizationsの仕組みやできること、ユースケースついて幅広くお伝えしました。

AWS Organizationsを利用することで、複雑になった企業内のAWSアカウント管理、統制を簡単に実現できることをご理解いただけたのではないでしょうか。

この記事では機能の概要を中心として解説してきましたが、実際にマルチアカウントを適切に管理・統制するための設計を行うには、専門家の助けが必要かもしれません。アシストでは、AWSサービスの導入コンサルティングや技術支援を行っています。今回取り上げた、「複雑化したAWSアカウントの管理」でお困りの際にも、ぜひ相談ください。



執筆者情報

さはし たくま プロフィール画像

愛知県の文系大学を卒業し、2019年アシストに新卒で入社。
幼いころから社内SEである父を見て育ち、同じ業界に進むことを決意。配属後は、主にOracle CloudとAWSのフィールド業務を担当している。新人の頃から主にクラウドを担当し、アシスト内ではオンプレミスを触れていない"クラウド世代"の先陣を切っている。


保有資格
・Oracle Cloud Infrastructure 2019 Certified Architect Associate
・AWS Certified Solutions Architect - Associate
・AWS Certified Data Analytics - Specialty


■本記事の内容について
 本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。

■商標に関して
 OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。
 文中の社名、商品名等は各社の商標または登録商標である場合があります。


Oracle Databaseライセンスのご相談ならアシスト

関連している記事

  • AWS
2022.06.14

Amazon Redshiftとは?特徴や料金、使い方を徹底解説

データ活用のために「Amazon Web Services(AWS)」を利用されるお客様が増加しています。本稿では、AWSでデータ活用を行う際には欠かせない「Amazon Redshift」にフォーカスし、の特徴や料金、使い方まで幅広くお伝えします。

  • Oracle Database
  • Oracle Cloud
  • PostgreSQL
  • AWS
  • Exadata
2022.05.24

入社2年目がレポート!Cloud Database Days 2022技術セッションの見どころ

2022年5月26日~6月3日に開催される「Cloud Database Days 2022」。その中でも10個に分かれた技術セッションについて、ポイントを押さえてそれぞれご紹介いたします!

  • EDB
  • PostgreSQL
  • AWS
2022.04.13

クラウドへのデータベース移行を検討中の方必見!「EDB」とは?

2022年4月22日(金)に開催する「アシスト流 EDB活用術 on AWS」の内容をチラ見せ。「EDBって何?」という方から「EDBは知ってるけどクラウド上でもEDB??」という方まで、ぜひお申し込みください。

ページの先頭へ戻る