TxKxZxWx's blog

AWS SAA、Javaの学習

AWS SAA取得に向けて 6日目 「AWS Organizations」「IAMまとめ」 セクション4:IAM

AWS Organizationsの概要」

 

  • AWS Organizations

AWS OrganizationsはIAMのアクセス管理を大きな組織でも楽に実施できるようにするマネージド型サービス」

 

複数アカウントの一元管理

AWSアカウントをグループ化してポリシーを適⽤して一元的に管理する。

大きな会社だと部署ごとにアカウントを持っていたり、複数持つことがあるから。

 

・新規アカウント作成の自動化

コンソール/SDKCLIAWSアカウントを新規作成して、作成内容をログ管理できる。

 

・一括請求

複数AWSアカウントを持っていると請求がバラバラになってしまうが、それを一括化できる。

 

 

「組織という単位を構成して、マスターアカウントがメンバーアカウントを管理するという仕組み」

マスターアカウントが統一的にポリシーを設定する。

 

【組織(一次管理対象)】

管理者ルート(マスターアカウントが権限を持っている)

      組織ポリシーを設定する。(サービス管理ポリシー 「SCP」)

組織単位(OU)←部署など

組織単位(OU)

メンバーアカウント

メンバーアカウント

メンバーアカウント

 

 

  • 機能セットの選択 

 「支払一括代行とアカウントの全体管理の2つの方式を選択する」

 

・ Consolidated Billing Only

 支払一括代行のみを実施する場合に選択。

 

・All Feature

支払一括代行も含めて、企業内の複数アカウントを統制したい場合に選択。

 

 

・マスターアカウントの設定 

AWSアカウントの中からマスターアカウントを設定する」

 AWSアカウントがある中で一つをマスターアカウントとして設定して残りがメンバーアカウントになる。

 

 

 

実際にやってみる。

やる作業は以下5点。

  1. 組織を作成する。
  2. 管理者ルートにマスターアカウントを設定する。
  3. 既存のAWSアカウントをメンバーアカウントとして組織内に追加する。
    ※別のAWSアカウントが必要となる
  4. 組織単位(OU)を作成する。
  5. サービスコトロールポリシー(SCP)を設定する。

 

 

 1. AWSマネージメントコンソールから「AWS Organizations」

→組織の作成。

Image from Gyazo

 

2.  Eメールが送られてくるので確認するとマスターアカウントとして登録できる。(☆がつく)→アカウントの追加。

Image from Gyazo

 

3. 「別のAWSアカウントを招待する。」

EメールまたはアカウントIDを入力し招待する。

Image from Gyazo

 

 Eメールが届くので確認して承認。

Image from Gyazo

 

 

4. 「アカウントの管理」では部署を作成したり、アカウントをそこの部署に移動したりできる。

Image from Gyazo

 

5. ポリシーの設定 

 「サービスコトロールポリシー」と「タグポリシー」の二つが設定できる。

サービスコトロールポリシー→有効化するを選択。

Image from Gyazo

 

  • サービスコトロールポリシー(SCP)とIAMの違い。
    SCPは組織単位,(OU)単位でアクセス範囲、リソースに対する操作権限を設定していく。
    IAMは組織の中、SCPの範囲内で個々のユーザーのアクセス権限を設定していく。

 

 

「SCPを設定する」

ポリシー→ポリシー名、説明入力→EC2を検索してAll actions (EC2)選択

Image from Gyazo

 

リソースを追加する→EC2, All Reseorces→リソースの追加。

Image from Gyazo

 

「この許可とか拒否がどういった条件で実行されるか設定する」

条件を追加する→aws:CurrentTime(現在時刻)、デフォルト、DateEquals→ポリシーの作成

Image from Gyazo

 

 

 アカウント整理画面に戻り今作ったSCPを設定していく。

右下のサービスコトロールポリシーの有効化を押す→

Image from Gyazo

 

開発部署に行きサービスコトロールポリシー→development_groupをアタッチする。

→このグループはEC2の操作ができなくなった。

Image from Gyazo

 

 

 

 このようにグループ、OUにSCPを設定することで全体的な、グループとしてのアクセス権限を設定することができる。

これを設定した上で組織全体の権限統制をとることに役立つ。

 

 

 

 

「IAMまとめ」

 

IAMAWS Organizationの二つを使用することで様々なアカウントの権限管理ができるようになる。

組織全体で「どのようなグループ、Organizationが必要なのか」ということを全体から設計し、どのようなポリシーがいいのか考え適用していくことが大切。