aws

AWSマルチアカウント 新規アカウントを追加してみる

AWS アカウントは組織として運用する場合、用途毎に複数アカウントを利用したほうがセキュリティ向上、作業ミスのリスク低減、コスト把握などの点でメリットがあります。

自分はよくある例の開発アカウント(≒開発AWS環境)、本番アカウント(≒本番AWS環境)のように分けて使用しています。
分けていることによりterraformを(開発環境で)心置きなく実行できたり、tagや名前でこのリソースは開発で、これは本番で、とわざわざ指定しなくても良いので助かっています。

アカウントの追加方法は、

  • 既存AWSアカウント(使用済のメールアドレス)に対して招待する
  • 新規AWSアカウント(未使用のメールアドレス)を作成しながら招待する

の2通りがあります。

今回は後者の方法でAWSアカウントを追加します。
後者の場合はクレジットカードの登録、住所の入力などが不要となります。
※組織から抜ける時に必要となります。

またマニュアル記載の通り

  • マスターアカウント → 追加する人
  • メンバーアカウント → 追加される人

として進めていきます。
マスターアカウントは、適切な権限を持つIAM ユーザー or ルートユーザー (非推奨) としてログインします。

スポンサーリンク

設定手順

マスターアカウントで組織作成

サービスで「AWS Organizations」を検索し、新規作成します。

メンバーアカウントを作成・招待

右の「アカウントの作成」を選択し

  • AWSアカウント名 → コンソール画面上部に表示される名前
  • IAMロール名 → 何も入力しない(デフォルトの OrganizationAccountAccessRole)

を設定します。
OrganizationAccountAccessRole はメンバーアカウント側のロールに追加されます。


アカウントが追加されたことを確認します。

メンバーアカウントでパスワード設定・ログイン

メールアドレスでログイン、パスワード忘れた場合をクリックして画面に従って操作します。


メールアドレスへパスワード再設定用リンクが飛んでくるので、クリックして設定します。

この後、通常ログインが可能です。
以降は、2要素認証の設定やIAMユーザーを作成してそのユーザーでの作業を行うことを推奨します。

例:メンバーアカウントへSCPを設定

組織の使い方の一例としてサービスコントロールポリシー(SCP)を設定してみます。

組織単位 (OU) ≒IAMグループ、
AWS(マスター,メンバー問わず)アカウント≒IAMユーザー
と考えるとわかりやすいかもしれません。

マスターアカウントでログイン後、OU作成。今回はDevelopを作成。

メンバーアカウントをOUへ移動

OU で SCP を作成します。
サービスコントロールポリシーの例 の例 12: リソース作成時にタグをリクエストする のjsonを貼り付けます。


アカウント整理 → Develop で作成したSCPをアタッチします。

参考

AWS Organizations とは何ですか? - AWS Organizations
AWS Organizations が複数の AWS アカウントを管理する方法を学びます。
タイトルとURLをコピーしました