AWS Organizations の特徴

AWS アカウントは、アクセス許可、セキュリティ、コスト、ワークロードのための自然な境界です。クラウド環境をスケーリングする場合は、マルチアカウント環境をご利用になることをお勧めします。AWS コマンドラインインターフェイス (CLI)、SDK、または API でプログラムを使って新しいアカウントを作成し、AWS CloudFormation StackSets を使用してそれらのアカウントに推奨リソースとアクセス許可を一元的にプロビジョニングすることで、アカウントの作成を簡素化できます。

新しいアカウントを作成する際に、それらを組織単位 (OU)、または単一のアプリケーションもしくはサービスを提供するアカウントのグループにグループ化できます。タグポリシーを適用して、組織内のリソースを分類または追跡し、ユーザーまたはアプリケーションのアクセスを属性ベースで制御します。さらに、サポートしている AWS のサービスの責任をアカウントに委任して、組織に代わってユーザーがそれらを管理できるようにすることができます。

ツールとアクセスをセキュリティチームに一元的に提供し、組織の代わりにセキュリティのニーズを管理できます。例えば、アカウント間での読み取り専用のセキュリティアクセスの提供、Amazon GuardDuty での脅威の検出および軽減、IAM Access Analyzer でのリソースへの意図しないアクセスの確認、Amazon Macie での機密データの保護が可能になります。

AWS IAM アイデンティティセンターをセットアップして、Active Directory を使って AWS アカウントとリソースへのアクセスを提供し、個別のジョブロールに基づいてアクセス許可をカスタマイズします。また、サービスコントロールポリシー (SCP) をユーザー、アカウント、または OU に適用して、組織内の AWS リソース、サービス、リージョンへのアクセスを制御することもできます。

AWS Resource Access Manager (RAM) を使用して、組織内で AWS リソースを共有できます。例えば、AWS Virtual Private Cloud (VPC) サブネットを一度作成すれば、組織全体で共有できます。また、AWS License Manager でソフトウェアライセンスに一元的に同意し、AWS Service Catalog を使ってアカウント間で IT サービスとカスタム製品のカタログを共有することも可能です。

宣言型ポリシーを適用して、組織全体に AWS サービスのベースライン設定などの持続的な意図を適用できます。宣言型ポリシーをアタッチすると、新しい機能や API が追加されても、承認コンテキストに関係なく設定が維持され、適用されます。

アカウント間で AWS CloudTrail をアクティブ化できます。これで、メンバーアカウントがオフにしたり変更したりできないクラウド環境内のすべてのアクティビティのログを作成できます。加えて、AWS Backup で指定した月次でバックアップを適用するポリシーを設定したり、AWS Config でアカウントや AWS リージョン全体のリソースに推奨される設定を定義したりできます。

Organizations では 1 つにまとめた一括請求が可能です。他にも、アカウント全体のリソースから使用量を表示したり、AWS Cost Explorer でコストを追跡したり、AWS Compute Optimizer でコンピューティングリソースの使用量を最適化したりできます。