AWS Organizations には、クラウド環境を一元管理および統制する機能があります。アカウントを 1 つの請求書で管理および整理したり、組織全体の中央ポリシーと設定要件を設定したり、組織内にカスタムのアクセス許可または機能を作成したり、他のアカウントに責任を委任して組織の代わりに管理できるようにしたりすることができます。
加えて、AWS Organizations は他の AWS のサービスと統合しているため、中央での設定、セキュリティメカニズム、監査要件、組織内のアカウント間でのリソース共有を定義できます。
AWS アカウントを管理する
AWS アカウントは、アクセス許可、セキュリティ、コスト、ワークロードのための自然な境界です。クラウド環境をスケーリングする場合は、マルチアカウント環境をご利用になることをお勧めします。AWS コマンドラインインターフェイス (CLI)、SDK、または API でプログラムを使って新しいアカウントを作成し、AWS CloudFormation StackSets を使用してそれらのアカウントに推奨リソースとアクセス許可を一元的にプロビジョニングすることで、アカウントの作成を簡素化できます。
組織を定義および管理する
新しいアカウントを作成する際に、それらを組織単位 (OU)、または単一のアプリケーションもしくはサービスを提供するアカウントのグループにグループ化できます。タグポリシーを適用して、組織内のリソースを分類または追跡し、ユーザーまたはアプリケーションのアクセスを属性ベースで制御します。さらに、サポートしている AWS のサービスの責任をアカウントに委任して、組織に代わってユーザーがそれらを管理できるようにすることができます。
アカウントの管理とモニタリング
ツールとアクセスをセキュリティチームに一元的に提供し、組織の代わりにセキュリティのニーズを管理できます。たとえば、アカウント間で読み取り専用のセキュリティアクセスを提供したり、Amazon GuardDuty で脅威を検出および軽減したり、IAM Access Analyzer でリソースへの意図しないアクセスを確認したり、さらに Amazon Macie で機密データを保護したりが可能になります。
アクセスと許可を制御
AWS IAM アイデンティティセンターをセットアップして、Active Directory を使って AWS アカウントとリソースへのアクセスを提供し、個別のジョブロールに基づいてアクセス許可をカスタマイズします。また、サービスコントロールポリシー (SCP) をユーザー、アカウント、または OU に適用して、組織内の AWS リソース、サービス、リージョンへのアクセスを制御することもできます。
アカウント間でリソースを共有する
AWS Resource Access Manager (RAM) を使用して、組織内で AWS リソースを共有できます。たとえば、AWS Virtual Private Cloud (VPC) サブネットを一度作成すれば、組織全体で共有できます。また、AWS License Manager でソフトウェアライセンスに一元的に同意し、AWS Service Catalog を使ってアカウント間で IT サービスとカスタム製品のカタログを共有することも可能です。
コンプライアンスに関する環境を監査する
アカウント間で AWS CloudTrail をアクティブ化できます。これで、メンバーアカウントがオフにしたり変更したりできないクラウド環境内のすべてのアクティビティのログを作成できます。加えて、AWS Backup で指定した月次でバックアップを適用するポリシーを設定したり、AWS Config でアカウントや AWS リージョン全体のリソースに推奨される設定を定義したりできます。
請求とコストの一元管理
Organizations では 1 つにまとめた一括請求が可能です。他にも、アカウント全体のリソースから使用量を表示したり、AWS Cost Explorer でコストを追跡したり、AWS Compute Optimizer でコンピューティングリソースの使用量を最適化したりできます。
AWS Organizations の使用を開始する