AWS Organizations は、AWS リソースの増加やスケーリングに合わせて、環境を一元的に管理し、統制するのに役立ちます。AWS Organizations を使って、プログラムから新しい AWS アカウントを作成しリソースを割り当てたり、アカウントをグループ化してワークフローを整理したり、ガバナンスのためにアカウントまたはグループにポリシーを適用したり、すべてのアカウントに単一の支払い方法を利用することで請求を簡素化したりできるようになります。
加えて、AWS Organizations は他の AWS のサービスと統合しているため、中央での設定、セキュリティメカニズム、監査要件、組織内のアカウント間でのリソース共有を定義できます。AWS Organizationsは、追加料金なしで AWS のすべてのお客様が利用できます。
利点
ワークロードをすばやくスケーリングする
AWS Organizations は、プログラムから新しい AWS アカウントを作成できるようにすることで、環境を迅速に拡張するのに役立ちます。AWS アカウントはリソースのコンテナです。複数のアカウントを使用すると、ビルトインのセキュリティ境界ができます。また、指定されたアカウントを提供することでチームを強化し、AWS CloudFormation StackSets を使ってリソースとアクセス許可を自動的にプロビジョニングできます。
さまざまなワークロードにカスタム環境を提供する
Organizations を使って、設定した安全な境界内にとどまりながら、チームが必要なリソースで自由に構築できるようにするポリシーを適用できます。アプリケーションまたはサービスを提供するアカウントグループである組織単位 (OU) にアカウントをまとめることで、サービスコントロールポリシー (SCP) を適用して、OU の対象を指定したガバナンス境界を作成できます。
アカウント全体で環境を一元的に保護および監査する
AWS CloudTrail を使って大規模な監査を管理し、アカウントからのすべてのイベントの不変のログを作成します。AWS Backup を使用してバックアップ要件を適用およびモニタリングしたり、AWS Config を使ってリソース、AWS リージョン、アカウント全体で推奨される設定基準を一元的に定義したりできます。AWS Control Tower を使用して、アカウント間のセキュリティ監査を確立したり、アカウント全体に適用されたポリシーを管理および表示したりすることもできます。
さらに、Amazon GuardDuty で脅威を検出したり、AWS IAM Access Analyzer で意図しないアクセスを確認したりするなど、セキュリティサービスを一元管理することで、リソースを保護できます。
アクセス許可管理とアクセス制御を簡素化する
AWS IAM アイデンティティセンター (AWS SSO の後継) と Active Directory を使用して、組織の全員についてユーザーベースのアクセス許可の管理を簡素化することができます。ジョブカテゴリのカスタムアクセス許可を作成して、最小特権の慣行を適用できます。ユーザー、アカウント、または OU にサービスコントロールポリシー (SCP) を適用することで、AWS のサービスへのアクセスを制御することもできます。
アカウント間でリソースを効率的にプロビジョニングする
AWS Resource Access Manager (RAM) を使用して組織内で重要なリソースを共有することにより、リソースの重複を減らすことができます。組織が AWS License Manager とのソフトウェアライセンス契約を満たし、AWS Service Catalog を使って IT サービスとカスタム製品のカタログを維持するのにも役立ちます。
コストを管理し、使用量を最適化する
AWS Organizations では、コストを簡素化し、1 つの請求で大口割引を利用できます。加えて、AWS Compute Optimizer や AWS Cost Explorer などのサービスを活用して、組織全体の使用量を最適化できます。
仕組み
ユースケース
AWS アカウントの作成を自動化し、グループを使用してワークロードを分類する
新しいワークロードをすばやく起動する必要がある場合は、新規の AWS アカウントの作成を自動化して、組織内のユーザー定義グループに追加し、セキュリティポリシーの即時適用、タッチレスインフラストラクチャのデプロイ、および監査を行うことが可能です。たとえば、個別のグループを作成して開発アカウントと本番アカウントを分類し、AWS CloudFormation StackSets を使って各グループにサービスとアクセス許可をプロビジョニングできます。
監査とコンプライアンスポリシーを実装および実施する
SCP を適用して、アカウントのユーザーがセキュリティとコンプライアンスの要件を満たすアクションのみを実行できます。さらに、AWS CloudTrail を使って組織全体で実行されたすべてのアクションの中央ログを作成し、AWS Config でアカウントと AWS リージョン全体で標準のリソース設定を表示および適用して、AWS Backup で定期的なバックアップを自動的に適用できます。AWS Control Tower で、AWS ワークロードの継続的なガバナンスのセキュリティ、運用、コンプライアンスに、パッケージ化済みのガバナンスルールを適用することもできます。
開発を促進しながら、セキュリティチームにツールとアクセスを提供する
AWS Organizations でセキュリティグループを作成して、すべてのリソースへの読み取り専用アクセスを提供し、セキュリティに関する懸念を特定して軽減することができます。加えて、アクセス許可を提供して Amazon GuardDuty を管理し、ワークロードへの脅威をアクティブにモニタリングおよび軽減できるようにしたり、IAM Access Analyzer でリソースへの意図しないアクセスを迅速に特定したりできます。
アカウント間で共通のリソースを共有する
AWS Organizations では、重要なリソースを一元的に管理し、アカウント間で簡単に共有できます。たとえば、一元的な AWS Directory Service Managed Microsoft Active Directory を共有すれば、アプリケーションから一元型の ID ストアにアクセスできるようになります。AWS Service Catalog を使って、指定されたアカウントでホストされている IT サービスを共有し、ユーザーを承認したサービスをすばやく見つけてデプロイできるようにします。さらに、AWS Resource Access Manager を使用してアプリケーションリソースを一元的に定義して組織全体で共有すれば、アプリケーションリソースを Amazon Virtual Private Cloud (VPC) サブネットに作成できます。
お客様
「AWS Organizations を使用して、個別のアカウントで個々の環境をチームに提供することで開発を加速でき、他のチームやパイプラインに影響を及ぼすことなく、同時進行が可能になりました。組織単位を使用して、ビジネスユニットごとにアカウントをまとめることができ、アプリケーションの 3 つの共通の開発段階をサポートすることができます。その結果、クラウドへのプロジェクトのオンボーディングを 5 倍加速し、IAM 許可チケットの数を 10 分の 1 に減らし、安定性の問題を 3 分の 1 に減らすことができました。これはすべて、AWS Organizations のシンプルな API を使用することで実現しました」。
クラウドプラットフォーム、ディレクター、Gaurav Jain – FactSet
「AWS Organizations を使って、GoDaddy は、アカウント間に一貫したセキュリティガードレールを実装できるとともに、アプリケーションチームに独自の加速ペースで構築する柔軟性を与えます。例えば、組織レベルで AWS Config を利用して、インフラストラクチャ構成の詳細をモニタリングし収集します。チームが新しいアプリケーションを開発する際にコストを表示し維持して、チームにサンドボックス、テスト、本番環境のアカウントを与えることによって、特定の開発環境をプロビジョニングすることができます。当社は、デベロッパーが自信を持って GoDaddy コンプライアンススタンダードにリソースをデプロイし、AWS Service Catalog を使用してそれらをアカウントに簡単に配信できるようにするカスタムアプリケーションを構築しました」。
Ketan Patel 氏、ソフトウェア開発シニアディレクター、GoDaddy
「GE は AWS Identity サービスを使って、グローバルエンタープライズをサポートし、ビジネスがクラウドで安全に行われるようにしています。AWS Organizations とサービスコントロールポリシー (SCP) は、トップダウンガバナンスを提供し、各ビジネスユニットへのアイデンティティベースとリソースベースのポリシー管理の委任ができるようにします。このモデルにより、ビジネスは独立して動き、大規模に運営され、今日の業界の課題を解決することができます」。
Matthew Green 氏、クラウドアーキテクチャのシニア・ディレクター、GE
「AWS Organizations を使用して、単一の請求書が発行されるようになったため、財務部門はクラウド費用を容易に追跡できるようになりました。また、AWS Savings Plans で従量制割引が適用され、料金値引き対象となりました。さらに、AWS IAM アイデンティティセンターと AWS Organizations を利用することで、認証を ID プロバイダー (IdP) に一元化することができ、従業員の日常業務に大幅な改善がもたらされ、複数の AWS アカウントにアクセスする際に異なる認証情報を使用する必要がなくなりました。インフラストラクチャセキュリティチームもアクセス管理を一元化できたことで、プラットフォームのセキュリティが強化され、運用コストが削減されました」。
CTO、Rocco Zanni - Spreaker
「当社は、マルチアカウント環境のアカウントを管理し、請求を簡略化するために AWS Organizations を使い始めました。さらに、AWS IAM アイデンティティセンター統合でアクセス管理を大幅に簡素化しました。AWS Organizations を使用すると、独自のアカウント内の同様のリスクプロファイルを持つワークロードを切り離し、アカウントタグを介してアカウントの所有権を識別し、メンバーアカウントの管理者が上書きできないサービスコントロールポリシーを使ってコントロールを行うことができます。新しいアカウントを迅速に安全に提供できるようになり、デベロッパーはビジネスソリューションに集中できるようになりました」。
Jaime Villegas、コーポレートサービス責任者 - Bancolombia
最近の出版物や記事
AWS Organizations の詳細