AWS Organizations

AWS リソースをスケーリングする際に、環境を一元管理および統制する

AWS Organizations は、AWS リソースの増加やスケーリングに合わせて、環境を一元的に管理し、統制するのに役立ちます。AWS Organizations を使って、プログラムから新しい AWS アカウントを作成しリソースを割り当てたり、アカウントをグループ化してワークフローを整理したり、ガバナンスのためにアカウントまたはグループにポリシーを適用したり、すべてのアカウントに単一の支払い方法を利用することで請求を簡素化したりできるようになります。

加えて、AWS Organizations は他の AWS のサービスと統合しているため、中央での設定、セキュリティメカニズム、監査要件、組織内のアカウント間でのリソース共有を定義できます。すべての AWS のお客様は、追加料金なしで AWS Organizations をご利用いただけます。

AWS Organizations のご紹介 (1:56)

利点

ワークロードをすばやくスケーリングする

AWS Organizations は、プログラムから新しい AWS アカウントを作成できるようにすることで、環境を迅速に拡張するのに役立ちます。AWS アカウントはリソースのコンテナです。複数のアカウントを使用すると、ビルトインのセキュリティ境界ができます。また、指定されたアカウントを提供することでチームを強化し、AWS CloudFormation StackSets を使ってリソースとアクセス許可を自動的にプロビジョニングできます。

さまざまなワークロードにカスタム環境を提供する

Organizations を使って、設定した安全な境界内にとどまりながら、チームが必要なリソースで自由に構築できるようにするポリシーを適用できます。アプリケーションまたはサービスを提供するアカウントグループである組織単位 (OU) にアカウントをまとめることで、サービスコントロールポリシー (SCP) を適用して、OU の対象を指定したガバナンス境界を作成できます。

アカウント全体で環境を一元的に保護および監査する

AWS CloudTrail を使って大規模な監査を管理し、アカウントからのすべてのイベントの不変のログを作成します。AWS Backup を使用してバックアップ要件を適用およびモニタリングしたり、AWS Config を使ってリソース、AWS リージョン、アカウント全体で推奨される設定基準を一元的に定義したりできます。AWS Control Tower を使用して、アカウント間のセキュリティ監査を確立したり、アカウント全体に適用されたポリシーを管理および表示したりすることもできます。

さらに、Amazon GuardDuty で脅威を検出したり、AWS IAM Access Analyzer で意図しないアクセスを確認したりするなど、セキュリティサービスを一元管理することで、リソースを保護できます。

アクセス許可管理とアクセス制御を簡素化する

AWS Single Sign-On (SSO) と Active Directory を使用した、組織内のすべてのユーザーに対するシンプルなユーザーベースのアクセス許可管理。ジョブカテゴリのカスタムアクセス許可を作成して、最小特権の慣行を適用します。ユーザー、アカウント、または OU にサービスコントロールポリシー (SCP) を適用することで、AWS のサービスへのアクセスをコントロールすることもできます。

アカウント間でリソースを効率的にプロビジョニングする

AWS Resource Allocation Management (RAM) を使用して組織内で重要なリソースを共有することにより、リソースの重複を減らします。組織が AWS License Manager とのソフトウェアライセンス契約を満たし、AWS Service Catalog を使って IT サービスとカスタム製品のカタログを維持するのにも役立ちます。

コストを管理し、使用量を最適化する

コストを簡素化し、1 回の請求で数量割引をご利用いただけます。加えて、AWS Compute OptimizerAWS Cost Explorer などのサービスを活用して、組織全体の使用量を最適化できます。 

仕組み

Diagram_AWS-Organizations_How-It_Works_v2

ユースケース

AWS アカウントの作成を自動化し、グループを使用してワークロードを分類する

新しいワークロードをすばやく起動する必要がある場合は、新規の AWS アカウントの作成を自動化して、組織内のユーザー定義グループに追加し、セキュリティポリシーの即時適用、タッチレスインフラストラクチャのデプロイ、および監査を行うことが可能です。たとえば、個別のグループを作成して開発アカウントと本番アカウントを分類し、AWS CloudFormation StackSets を使って各グループにサービスとアクセス許可をプロビジョニングできます。

監査とコンプライアンスポリシーを実装および実施する

SCP を適用して、アカウントのユーザーがセキュリティとコンプライアンスの要件を満たすアクションのみを実行できます。さらに、AWS CloudTrail を使って組織全体で実行されたすべてのアクションの中央ログを作成し、AWS Config でアカウントと AWS リージョン全体で標準のリソース設定を表示および適用して、AWS Backup で定期的なバックアップを自動的に適用できます。AWS Control Tower で、AWS ワークロードの継続的なガバナンスのセキュリティ、運用、コンプライアンスに、パッケージ化済みのガバナンスルールを適用することもできます。

開発を促進しながら、セキュリティチームにツールとアクセスを提供する

AWS Organizations を用いてセキュリティグループを作成し、すべてのリソースへの読み取り専用アクセスを提供して、セキュリティに関する懸念を特定し軽減することができます。加えて、アクセス許可を提供して Amazon GuardDuty を管理し、ワークロードへの脅威をアクティブにモニタリングおよび軽減できるようにしたり、IAM Access Analyzer でリソースへの意図しないアクセスを迅速に特定したりできます。

アカウント間で共通のリソースを共有する

AWS Organizations があると、一元型の重要なリソースをアカウント間で簡単に共有できます。たとえば、一元型の AWS Directory Service Managed Active Directory を共有すれば、アプリケーションから一元型の ID ストアにアクセスできるようになります。AWS Service Catalog を使って指定されたアカウントでホストされている IT サービスを共有し、ユーザーを承認したサービスをすばやく見つけてデプロイできるようにします。さらに、AWS Resource Access Manager を使用して一元的に定義し、組織全体で共有すれば、アプリケーションリソースが AWS Virtual Private Cloud (VPC) サブネットで作成されるようになります。

最近の出版物や記事

「日付」
  • 「日付」
その他…

現時点でブログ記事は見つかりませんでした。その他のリソースについては、AWS ブログをご参照ください。

AWS セキュリティブログで、詳細をご確認ください。

AWS Organizations の詳細

特徴ページをご覧ください
構築の準備はできましたか?
AWS Organizations の使用を開始する
ご不明な点がおありですか?
お問い合わせ