AWSで組織を作る

この投稿は次のコンテンツをカバーします

AWS組織とは

なぜ、あなたはAWS組織を使うべきですか?

AWS組織を使う方法?

始めましょう.

AWS組織とは
AWS組織は、あなたが複数のAWSアカウントを管理して、あなたのAWS資源を拡大して、あなたの環境を支配するのを援助するAWS M & Gカテゴリーの下に来るサービスです.

なぜあなたはそれを使用する必要があります?
あなたが望むならば、あなたはAWS組織を使うべきです
中心的に複数のAWSアカウント全体であなたの環境を管理する
AWSの組織の助けを借りて

自動的にあなたの組織の一部になる新しいアカウントを作成します

あなたの組織に加わるために他のAWSアカウントを招待してください

プログラムを自動的に新しいAWSアカウントを作成します

アカウントの一部またはすべてに適用する適切なポリシーを添付します.

統合された請求機能を統合し、支払いを管理するのに役立ちますすべてのメンバーのアカウントを支払うコストと中央コスト.

組織管理

グループAWSは簡単に管理し、あなたのためにサービス制御ポリシー(SCP)に基づいて境界を管理する組織単位(ous)を説明します.

アクセス許可管理とアクセス制御の簡素化

AWS SSOとActive Directoryを使用して、組織内のユーザーベースのアクセス許可を制御します.

SPSを適用して、AWS内のAWSサービスへのアクセスを制御します.

アカウント間で効率的にリソースを共有し、提供する

リソース複製を減らすのを助けるために、組織内の重要なリソースを共有するためにAWS RAM(Resource Access Manager)を使用してください.

あなたのソフトウェアライセンス契約を中心にAWSライセンスマネージャーを使用してください

AWSサービスカタログを使用して簡単にITサービスとカスタム製品のカタログを共有します

コスト管理と最適化

AWSの組織は、すべてのメンバーアカウントの支払いをする組織の管理アカウントを有効にし、単一の法案で数量割引の恩恵を受ける請求機能を共有している統合請求の機能を提供します.

リソースコストを追跡するためにAWS

AWS Compute Optimizerを使用してリソースの使用を計算します

環境監査の遵守

様々なAWSサービスを使用して、あなたのリソースのセキュリティを中心に管理することができます

All CloudTrailあなたのアカウント内のすべてのイベントを監査する

リソース、AWS領域、およびアカウント間で推奨される設定基準を中心に定義します

あなたの資源を中心に保護する脅威検出のためのAWSガード

AWSコントロールタワーは、アカウント全体のセキュリティ監査を確立したり、アカウント間で適用されるポリシーを管理し、表示する

AWS組織を使う方法?
AWS組織はグローバルサービスであり、AWSコンソール、CLI、またはAPIを使用してAWS組織サービスを作成し、使用することができます.
次の手順を実行します.

組織の作成

私の組織に他のAWSアカウントを招待して、加えてください

組織内のグループを作成

グループへのサービス制御ポリシーの適用

注意:
私はすでに2つの別々のAWSアカウントを持っています.管理アカウント(以前はマスターアカウントとして知られている)として1つのメンバーアカウントとして使用されます.管理アカウントは、組織とメンバーアカウントを作成するために使用されるアカウントです.

手順は次のとおりです.

あなたの管理口座へのログインとAWS組織コンソールに行ってください

右上隅にある“Creation Organization”をクリックする

あなたはアカウントを確認するためにあなたの管理アカウントに関連する電子メールアドレスに送られた検証メールを受け取るべきです.あなたの組織に他のAWSアカウントを招待するためにあなたのメールアドレスを確認する必要があります.

一度確認し、“AWSのアカウントを追加”オプションをクリックして

私がこの組織で招待したい既存のAWSアカウントを持っているので、私は「既存のAWSアカウントを招待する」選択を選びます.既存のアカウントを持っていない場合は、単に組織内の1つを作成することができます.

この組織で招待するAWSアカウントのメールアドレスまたはアカウントIDを入力してください

AWSアカウントの所有者にメッセージを追加する(オプション)

リソースに関連付けるタグを使用する

電子メールアドレスまたはログインをメンバーAWSアカウントに送信するリンクをクリックして招待を受け入れます.

さて、管理アカウントにログインして、AWS組織に行きましょう
組織の構造は次のようになります.

Root
-> management account 
-> member account 

最初に、管理とメンバーアカウントの両方が根底にあります.

組織内のグループI . Eを作成するためにさらに進んでください
"root "を選択し、"action "に移動します.
組織単位で「新規作成」を選択
注:ルートを削除または名前を変更できません.
あなたの新しいouの名前を入力してください
注釈タグ(オプション)
下の「組織単位を作成」をクリックします

一度作成した組織構造は次のようになります.

Root
-> New OU
-> Management Account
-> Member Account

これはrootが1つのouを含む新しいou、管理アカウント、およびメンバーアカウントを示します.現在、新しいOUは空です.

SCPを適用するには、新しく作成されたOUにメンバーまたは管理アカウントを移動できます.
OUから別のアカウントにアカウントを移動するには、次の手順に従います.
移動するアカウントを選択します
アクションに移動
そのアカウントを移動するOUを選択します
下の「AWSアカウントを動かす」をクリックしてください

私は以下の組織構造を作りました.

Root
-> New OU
   -> Member Account
-> Management Account

私は、新しいアカウントにメンバーアカウントを移動し、ルートの下に管理アカウントを保持している.新しいOUとメンバーアカウントのポリシーを作成するSCPを作成します.

左ペインで「ポリシー」に移動し、「サービス制御ポリシー」→「サービス制御ポリシーを有効にする」をクリックします

一度有効にすると、メンバーアカウント、または
注:組織内のメンバーアカウントのみにSCPを適用できます.管理アカウントのユーザーやロールには影響しません.

SCPを作成するには、次の手順に従います.

ポリシーへのアクセス
右上の「ポリシーを作成」をクリックします
詳細を入力し、下部にある“Create Policy”をクリックする
一旦作成されるならば、それは「利用できる方針」の下でリストされなければなりません
さて、新しく作成されたSCPを選択し、メンバーアカウントまたは
私はAWSによって提供されるサンプルSCPの1つを使用して、私のメンバーアカウントを含む私の新しいouにそれを付けました.

このSCPは要求されたAWS領域に基づいてAWSへのアクセスを拒否します.詳細を読むhere .
SCPが働いているかどうかテストするために、私は私のメンバーアカウントにログインして、EC 2コンソールにアクセスしようとしました.以下は画面に表示されるメッセージです.

EC 2インスタンスを起動し、SCPが動作していることを確認する操作を行うことを制限しました.
この情報を助けてください.ありがとう.