【初心者向け】AWSのマルチアカウント管理で知っておくべきソリューション3選

Blog

実際にマルチアカウントを管理していて今後マルチアカウント管理を始める方向けに、これは使える様になってた方が良い・最初から適応しておいたほうが良いソリューションを紹介したいと思います

AWS Organizations

一発目は言わずもがなOrganizationsです。
複数のアカウントを管理する上で、組織と呼ばれるグループを設定することができます。残り2つの機能箱の機能の上で適用していきます。Organizationsの機能を要約すると以下になります。
・グループ単位でSCPと呼ばれる権限を設定できる
・アカウント感でリソースの共有ができる
・CloudTrailなど監査機能を設定できる
・請求を一言管理できる

2~3アカウントぐらいの管理だと受けられる恩恵が少ない印象ですが、アカウントが増えれば増えるほどこの機能の恩恵は増えてきます。
後から適応する事も可能ではあるのですが、サービスがローンチした跡だったり、アカウントが増えた後に適用となってくるとハードルが上がってくるので、管理するアカウントが増えると分かった時点でどう適応していくかを整理したほうが良いです。

Organizationsが分かってきたらControltowerを調べてみましょう!

参考:
 https://aws.amazon.com/jp/organizations/
 https://aws.amazon.com/jp/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/

AWS Single Sign-On

アカウントごとに、ユーザーを管理してパスワードを設定して・・・
と考えると嫌になりませんか?
Chromeのプロファイルで管理する。という方法もあるのですが複数端末でログインが必要となる場合もあると思います。
はっきり言って面倒くさいです。会社の規定で一定期間ログインしないユーザーを無効にしたり、パスワードのフォーマットに決まりがあったりするとより面倒です。
そういったときに、SSO設定しておくと1箇所でユーザー管理できるために非常に楽です。
ActiveDirectoryを持っていれば連携できるので、より管理が容易になります。

参考:
 https://aws.amazon.com/jp/single-sign-on/

AWS CloudFormation

アカウント毎に似たようなVPCを作って、似たようなロールを作って、似たようなEC2を立てて・・・
ちょっとしたものだからと、アカウント毎の手作業が増えてきていないでしょうか?
後とから統率取ろうとしても、すでにある環境を壊すわけには行かず面倒くさい。という自分みたいにならないように、アカウント毎の共通設計をしておきましょう。
そしてそれをCloudFormationに落としてしまいましょう。
先に上げたOrganizations・ControltowerやLanding Zoneと言った機能で使うもので、例えば新しくアカウント作ったら、CloudTrailを有効にして、監査カウントのバケットにログを連携して、SSOでスイッチロールするロールを用意する。と言った一連の作業を一発で適応することが出来ます!
参考:
 https://aws.amazon.com/jp/cloudformation/
 https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/stacksets-concepts.html

今回は3つのソリューションを紹介しましたが、今後も便利な機能や設計する時の参考になるような情報を発信していくので、よろしくお願いします!

コメント

タイトルとURLをコピーしました