AWS Organizationsとは？その仕組みと実現できること、ユースケースを解説

シンプルなWebサイトの構築からビッグデータを用いた先進的なデータ活用まで、様々な分野でクラウドサービスの利用が拡大しています。その中でもトップシェアを誇るのが「AWS（Amazon Web Services）」です。AWSには200種類以上のサービスが存在し、多くの企業が多種多様な用途で利用しています。

AWSの活用が進むにつれて大きな課題となってきているのが、企業内のAWSアカウント管理です。
AWSではセキュリティなどの観点から、システムや本番/検証/開発環境ごとにAWSアカウントを分離することが推奨されています。そのため、AWSの利用が進むほど社内のAWSアカウントが膨大となり、そのアカウントの管理や統制の問題が顕在化します。

AWS Organizationsは、こうした「AWSのマルチアカウントの課題を解決」するAWSサービスです。本稿では、AWS Organizationsの仕組みから、解決できる課題、ユースケースについて幅広く解説します。

AWS Organizationsとは、複数のAWSアカウントを一元管理できるAWSのサービスです。複数のAWSアカウントをグループ化し、そのグループごとに共通のポリシー（して良いこと、悪いこと）を設定することができます。

例えば、企業内の部署ごとにAWSアカウントをグループ化し、「このAWSサービスはA部署では利用できるがB部署では利用させない」というような設定も簡単に行えます。このように、アカウント個別にではなく、グループごとにポリシー設定し、統制できることがAWS Organizationsの特長です。AWS Organizationsを正しく利用すると、AWSの複数アカウントを非常に効率的に管理できます。

AWS Organizationsでは、複数のAWSアカウントを「組織」として管理します。組織内のAWSアカウントは「管理アカウント（マネジメントアカウント）」と「メンバーアカウント」に分けられます。

管理アカウントは組織全体の管理権限を持ち、1つの組織に1つだけ存在します。管理アカウント以外は、全てメンバーアカウントです。管理アカウントは「親アカウント」と表現されることもあり、「子アカウント」であるメンバーアカウントを統括して管理します。

組織内では、複数のメンバーアカウントを「組織単位（OU）」としてグループ化できます。OUごとにサービスコントロールポリシー（SCP）を用いて、そのOUでできることできないこと（権限）を適用できます。また、管理アカウントでは組織全体に反映するSCPを設定することも可能です。

以下の図の例で、管理アカウントのSCPで設定された権限は、この組織全体で有効となります。OU（OU-A部署とOU-B部署）のそれぞれに設定したSCPは、各OUのAWSアカウントで有効となります。

もう少し詳しくAWS Organizationsの機能を確認していきましょう。ここでは、大きく4つをピックアップしてご紹介します。

既に解説してきた通り、AWS OrganizationsではAWSアカウントを一元管理できます。組織単位（OU）を定義し、部署などのグループ単位でサービスコントロールポリシー（SCP）を設定できます。

従来、アカウントを新規作成する際はクレジットカードの登録や各種認証などの対応が必要ですが、AWS Organizationsでは管理アカウントで簡単にAWSアカウント（メンバーアカウント）を作成できます。作成したAWSアカウントは同一組織内のメンバーアカウントとなります。また、所属するOUを指定することで、他のAWSアカウントと同様のポリシーを自動的に適用させることも可能です。
なお、別の組織に所属するメンバーアカウントを自分の組織に招待したり、自組織からメンバーアカウントを離脱させることも可能です。

通常、AWSの請求単位はAWSアカウントです。しかし、AWS Organizationsでは、その組織のAWS利用料金を管理アカウントで一元管理することが可能です。AWSからの請求は管理アカウントにまとめて行われます。組織全体のAWS利用料はもちろん、AWSアカウント単位、サービス単位でもコストを把握できるため、コストの最適化が容易となります。
なお、AWSのいくつかのサービス（Amazon S3など）は利用ボリュームが多いほど価格が安くなるボリュームディスカウントが用意されています。通常これはアカウントに計算されますが、AWS Organizationsを利用していると、組織全体の利用ボリュームでディスカウントが適用されるため、AWS利用料の削減につながります。

AWS Organizationsの組織内で、AWS Resource Access Manager(AWS RAM)を用いるとAWSアカウント間やOU間でリソースの共有を行えるようになります。これによって、共有できるリソースを複数アカウント個別で作成する必要はなくなり、運用上のオーバーヘッドが削減されます。

AWS Organizations自体の機能（OUやSCPなど）は、無料で利用できるのも大きな魅力です。
ただし、AWS Organizationsが連携して利用する各種サービスや組織内で作成したAWSアカウントが利用したリソースは、使用量に応じて課金が発生します。

続いてAWS Organizationsで新しい組織を構成する例をご紹介します。前提として、事前に管理アカウントとして利用するAWSアカウントを用意しておく必要があります。
_{※画面イメージは記事公開（2022年4月）時点のものです。アップデートによりUIに変更がある場合があります。}

①管理アカウントとなるAWSアカウントでAWSマネジメントコンソールにアクセスし、AWS Organizationsを起動します。「組織を作成する」をクリックするだけで「組織」を作成できます。

②組織を作成した時点では、管理アカウントだけが所属した状態となっています。「AWSアカウントを追加」をクリックします。

③組織にメンバーアカウントを追加します。
AWSアカウントの名前や使用するEメールアドレスを設定するだけでアカウントを作成できます。AWSアカウント名（今回は「aws_organi_test_kka」）とメールアドレスを入力し、「AWSアカウントを作成」をクリックします。
※既存のAWSアカウントを招待することも可能です。

④先ほど作成した「aws_organi_test_kka」アカウントが追加されていることが確認できます。続いて、「アクション」メニューから、「組織単位」「新規作成」をクリックし、OUを作成します。

⑤この例では「test_ou」を作成します。組織単位名のみ設定し、「組織単位の作成」をクリックします。

⑥「test_ou」が作成されました。先ほど作成した「aws_organi_test_kka」アカウントを「test_ou」に移動します。アカウントを選択した状態で、「アクション」から「AWSアカウント」「移動」をクリックします。

⑦移動先のOUを指定した状態で「AWSアカウントの移動」をクリックします。

⑧「test_ou」配下にアカウントが移動したことが確認できます。続いて、「test_ou」にSCP（サービスコントロールポリシー）を設定します。左メニューの「ポリシー」をクリックします。

⑨「ポリシー」のページになるので、「サービスコントロールポリシー」をクリックします。

⑩次の画面で「サービスコントロールポリシー」を有効化します。有効化すると以下のページになるので「ポリシーを作成」をクリックします。

⑪新しいポリシーを作成します。本稿では詳細は割愛しますが、組織のルールに従って、ポリシーの内容を決めましょう。サービスコントロールポリシーは、IAMポリシーと同様にJSON形式で記述します。

⑫「test_policy」が追加されました。追加されたポリシーをOUにアタッチします。「アクション」で「ポリシーのアタッチ」をクリックします。

⑬先ほど作成した「test_ou」を選択し、「ポリシーのアタッチ」をクリックします。

以上、AWS Organizationsを使用して、以下の作業を確認してきました。

実際の画面を見ることで、AWS Organizationsを使用すると、AWSのマルチアカウントを簡単に管理できることがイメージできたのではないでしょうか。

ここまでで、AWS Organizationsの仕組みやできることについてご説明しました。
振り返りになりますが、AWS Organizationsにより以下の事項が実現できます。

AWSには他にも、権限を管理するAWS IAMや、ガバナンスの効いたマルチアカウント環境を簡単に構築できるAWS Control Towerなどのサービスが実在します。
一度利用するとそれらの違いは明らかですが、まだ利用経験がない方はそれぞれのサービスの違いに混乱されることが多いようです。

この章では、AWS IAMやAWS Control TowerとAWS Organizationsとの違いを簡単に説明します。

AWSで権限管理といえばIAM（AWS Identity and Access Management）を思い浮かべる方が多いでしょう。IAMは、AWSのサービスやリソースへのアクセスを制御できる機能です。例えば「このS3バケットには、Aユーザーのみアクセスを許可する」というきめ細かい権限設定を行えます。

それに対して、これまで解説してきたようにAWS OrganizationsのSCPを用いると「AWSアカウントレベル」で「できること、できないこと」を制御できます。SCPで利用を制限しているサービスは、例えAWSアカウント内のIAMで制限していなくても、利用することはできません。

サービスの使い分けをまとめると以下のようになります。
・AWS Organizations：アカウントレベルで統制を行うAWSサービス
・AWS IAM：アカウント内で細かい権限設定を行うサービス

「AWS Control Tower」は、2021年に東京リージョンでローンチされ、大変注目されているAWSサービスです。AWS Control Towerを利用すると、AWSのベストプラクティスに添ったLanding Zone（ランディングゾーン）という「ガバナンスの効いたマルチアカウント環境」を簡単に構築できす。

AWS Control Towerは、内部的にAWS Organizationsや各種セキュリティサービスなどを自動的にセットアップし、Landing Zoneを構築します。これまで解説してきたように、AWS Organizationsは個別で利用することもできますが、AWS Control Tower利用時には包括された形となることを理解しておきましょう（図）。

AWS Organizationsを利用して、マルチアカウントを管理するケースが増えています。代表的なユースケースを2つご紹介します。

本稿では、AWS Organizationsの仕組みやできること、ユースケースついて幅広くお伝えしました。

AWS Organizationsを利用することで、複雑になった企業内のAWSアカウント管理、統制を簡単に実現できることをご理解いただけたのではないでしょうか。

この記事では機能の概要を中心として解説してきましたが、実際にマルチアカウントを適切に管理・統制するための設計を行うには、専門家の助けが必要かもしれません。アシストでは、AWSサービスの導入コンサルティングや技術支援を行っています。今回取り上げた、「複雑化したAWSアカウントの管理」でお困りの際にも、ぜひ相談ください。

執筆者情報

• 佐橋 拓馬

愛知県の文系大学を卒業し、2019年アシストに新卒で入社。
幼いころから社内SEである父を見て育ち、同じ業界に進むことを決意。配属後は、主にOracle CloudとAWSのフィールド業務を担当している。新人の頃から主にクラウドを担当し、アシスト内ではオンプレミスを触れていない"クラウド世代"の先陣を切っている。...show more