企業がAWSを利用する場合、一つのアカウントで運用するには限界があります。多くの企業が、複数のアカウントを作成し、運用・管理していることでしょう。しかし、複数のアカウントを使ったAWSの運用は、複雑になりがちです。そこで役に立つのが、「AWS Organizations」です。AWS Organizationsを活用することで、アカウントの一元管理やアクセス制御の自動化などが可能となり、マルチアカウント運用の際に生じる業務負担を大幅に軽減できます。今回の記事では、AWS Organizationsのサービス概要、制御の仕組み、利用するメリットなどについて解説していきます。
目次
AWS Organizationsとは
まず、AWS Organizationsの概要について解説します。
AWS Organizationsは、複数のAWSアカウントを統合的に管理できるサービスです。AWSの運用では、まずアカウントを一つ作って運用するのが一般的です。その後、エンジニアや関連スタッフの増加、サービスの追加などに伴って、複数のアカウントを作成していくケースが多いかと思います。AWS側も「テスト環境と本番環境を、アカウントごとに分けること」を推奨しており、AWSのマルチアカウント運用は珍しいことではありません。
このような複数のアカウントを運用する際に役立つのが、AWS Organizationsです。通常、AWSのアカウント作成時には、クレジットカードの登録や電話番号の認証が必要で、複数のアカウントを作成するのには時間がかかります。AWS Organizations使用時には、こうした手間なく簡単かつ効率的に新規アカウントを作成できます。さらに、独自のセキュリティポリシーの設定やアカウントの一元管理も行えることから、運用負荷も大幅に削減できるでしょう。また、AWS環境の拡張にも柔軟に対応でき、AWSマネジメントコンソールやAWS CLI(Command Line Interface)を通じての設定が可能です。
AWS IAMとの違い
AWS Organizationsと似たサービスとして、よく比較対象に挙げられるのが、AWS IAM(Identity and Access Management)です。どちらもアクセス制御に関連していますが、制御の対象は大きく異なります。AWS Organizationsはグループ単位での管理を目的としているのに対し、IAMはユーザー単位のアクセス制御を行います。
AWS Organizationsの特徴
AWS Organizationsは、組織内全体にわたるリソースの使用制限やアクセス制限を一元的に設定・管理できます。たとえば、組織全体で特定のリージョンへのアクセスを禁止するといった、グループ全体のポリシー設定が可能です。
AWS IAMの特徴
IAMは、個々のアカウントに対して、AWSサービスやリソースへのアクセスを制御できます。たとえば、AチームのユーザーにはEC2インスタンスの作成や起動、停止などの権限を付与し、BチームのユーザーにはS3バケットの作成や削除、オブジェクトの操作権限などを付与するといった、細かいアクセス制御の設定・管理が可能です。
AWS Organizationsが全体の統制を行うのに対し、IAMは個々のユーザーに対する最小限の権限を設定する際に使えます。IAMで制限がかかっていない場合でも、AWS Organizationsで何かしらの制限がかかっていれば、AWS Organizationsで設定した内容に基づいてアカウントに制限がかかります。複数のAWSアカウントを運用する際は、両者の特性をよく理解し、適切に使い分けることが重要です。
AWS Organizationsの仕組みと基本用語について
続いて、AWS Organizationsを活用する際に理解しておくべき仕組みと基本用語について解説します。
OU(Organizations Unit)
OU(Organizations Unit)とは、AWS Organizations内で使われるグループ単位のことで、「組織単位」と呼ばれるケースもあります。OUの中にOUを作り、階層化しながら、アカウントを分類することも可能です。
管理アカウント
管理アカウントは、AWS Organizationsを利用する際のメインアカウントで、「親アカウント」とも呼ばれます。このアカウントは、組織内の設定や変更、新規アカウントの作成など、すべてを行える権限を持ち、組織ごとに一つしか設定できません。
SCP(Service Control Policy)
SCP(Service Control Policy)とは、AWS Organizations内で使われるアクセス制御ポリシーのことです。任意のOUに独自のSCPを設定することで、どのAWSサービスにアクセスできるようにするかを管理できます。SCPは個々のアカウントに設定するのではなく、OU単位で設定することが基本です。そのため、OUの事前設計を適切に行うことが、AWS Organizations活用のキーポイントとなってきます。
AWS Organizationsの仕組みについて
AWS Organizationsは、複数のアカウントをグループ化し、それらを一元的に管理できるサービスです。AWS Organizationsは、複数のアカウントを「OU」という単位でグループ化して管理します。その後、各OUに対してSCPを設定し、使用可能なサービスと不可能なサービスなどを制御します。たとえば、部署ごとにOUを作成し、SCPを設定することで、特定のサービスやリージョンへのアクセスを部署ごとに設定することが可能です。
AWS Organizationsを利用するメリット
続いて、AWS Organizationsを利用することで得られる、代表的なメリットを4つご紹介します。
新規アカウントの作成が簡単にできる
先述の通り、通常AWSの新規アカウント作成には、メールアドレスの登録や電話番号の認証などが必要です。さらに、部署ごとにアクセス制御を行う必要もあり、その設定にも手間がかかります。AWS Organizationsを活用すれば、簡単に新規アカウント作成ができるようになるうえ、連動して任意のOUに紐づける設定を行えば、そのOUのポリシーが自動で適用されます。アカウント作成から初期セットアップまでを自動化できることから、新規アカウント作成の業務が効率的に行えます。
アカウントの一括管理ができる
AWS OrganizationsではOU単位でのポリシー設定が可能です。小さな組織ならアクセス制御の設定はすぐにできますが、組織の規模が大きくなればなるほど、制御のポリシーも複雑になり、設定するのが大変になっていきます。AWS Organizationsを使って、OUごとに「できること・できないこと」を設定すれば、グループごとにアクセスできるサービスを簡単に制御でき、効率的にマルチアカウントの運用を行えます。
請求の一元化も可能
通常、AWSの請求は、一つのアカウントごとに発生します。しかし、AWS Organizationsを使えば、管理アカウント(親アカウント)に請求を一元化することが可能です。また、AWS Organizationsを利用している場合、組織単位での利用ボリュームが換算されるため、ボリュームディスカウントを受けやすく、コストの削減も期待できます。ボリュームディスカウントとは、Amazon S3をはじめとする、AWSのいくつかのサービスで採用されている割引サービスで、対象サービスを利用するボリュームが多ければ多いほどAWSの利用料金が安くなる仕組みです。
リソースを共有できる
AWS Organizationsを利用すると、簡単にOU間でリソース共有が行えます。AWSには、AWS Resource Access Manager(RAM)というサービスを利用することで、アカウント間やOU間でのリソース共有が可能となります。しかし、AWS Organizationsを使用している場合は、RAMを利用せずとも、アカウント間やOU間でのリソース共有が可能となり、スピーディーかつ効率的に部署間やグループ間でのリソース共有を実現できます。
AWS Organizationsを利用するうえでの注意点
最後に、AWS Organizationsを利用するうえで注意すべき点を紹介します。
設計を間違えると、大きな影響が出る恐れがある
AWS Organizationsを使えば、複数のAWSアカウントをOU単位で分けて管理することで、統合的にポリシー設定や初期セットアップの自動化を行えます。管理アカウントから全体を一元管理できるため、複数アカウントに対して一括でルールを適用でき、人的リソースや時間の大幅な節約も期待できます。
しかし、管理アカウントの権限は非常に大きいため、設計や設定にミスがあると、組織全体に大きな影響を与えかねません。OUの単位を間違えたり、SCPの設定を間違えたりすると、その影響は広範囲に及ぶことを留意しながら、慎重にOU設計や設定を行うようにしましょう。設定する際はいきなり本番環境で試すのではなく、テスト環境で意図した動作をするのか確認したうえで、設定を行うことをおすすめします。
AWS Organizationsの利用でお悩みの方は、当社までご相談を
AWS Organizationsの設計は、規模が大きいほど複雑になっていきます。「部署やチームが多岐にわたるため、OUの階層やコスト配分、SCPの設定が複雑になってしまい、最適な設計が難しい」「AWS Organizationsを使ってセキュリティを強化し、業務を効率化したいが、その方法が分からない」といった課題を感じている方も少なくないことでしょう。
さまざまな業界でのAWS導入支援実績が豊富な当社が、細分化されたニーズにもマッチする最適なプランをご提案しながら、きめ細かいサポートを提供します。
まとめ
AWS Organizationsを利用すれば、複数のAWSアカウントを効率的に管理できるだけでなく、手間のかかるアカウント作成や初期セットアップなどの業務工程を大幅に削減できます。また、請求の一元化により、ボリュームディスカウントの適用を受けることも可能なため、料金や人的リソースなど、さまざまな面でのパフォーマンス向上を期待できるでしょう。ただし、AWS Organizationsの導入や運用に際しては、設計のミスが広範囲にわたって、大きな影響を及ぼすリスクが伴っていることも理解しておく必要があります。もし、AWS Organizationsの導入や活用に不安や課題をお持ちの場合は、当社までお気軽にご相談 
ください。
