Hatena Engineer Seminar #20 AWS Renovation 編 https://hatena.connpass.com/event/249039/ の発表資料です
AWS Organizations 組織を移動する時に考えること 100 連発AWS Control Tower への組み込みを添えてid:nabeop / @nabeo2022/06/07 Hatena Engineer Seminar #20AWS Renovation 編1
View Slide
自己紹介組織・基盤開発本部プラットフォーム部システムプラットフォームチームSREid:nabeopTwitter : @nabeohttps://twitter.com/nabeoBlog :https://nabeop.hatenablog.com/2
AWS アカウント管理のガバナンス強化3【開催報告】アップデート紹介とちょっぴり Dive Deep する AWS の時間 第十七回 (04/28) https://aws.amazon.com/jp/blogs/news/update-divedeep-series-17/
用語の整理 (AWS アカウントの種類)● 管理アカウント○ AWS Organizations の組織を管理する AWS アカウント● メンバーアカウント○ AWS Organizations の組織に入っている AWS アカウント● payer アカウント○ AWS アカウントの費用の支払い責任をもつ AWS アカウント4
5AWS Organizations の組織移動と AWS Control Tower への組み込み手順
6手順 1旧組織から離脱する
7手順 2新組織に加入する
8手順 3新組織の AWS Control Tower に組み込む
9ね?簡単でしょ??
10簡単ではない!!
お品書き● 一括請求の対象から外れる● RI/SP が共有できない● AWS Control Tower と競合する AWS リソース● ポリシーで組織 ID を使っているケース11
12その1 : 一括請求から外れる
13AWS Organizations の一括請求機能● 組織内のメンバーアカウントの請求を1つのAWS アカウントにまとめる● 請求書が1つにまとまるので管理が楽になる
組織移動中の payer アカウントの変化● 旧組織に所属している期間○ payer アカウントは旧組織の管理アカウント● どの組織にも所属していない期間○ payer アカウントは自分自身● 新組織に所属している期間○ payer アカウントは新組織の管理アカウント14
煩雑な請求手続き● 最大で3つに分割されて請求される● どの組織にも所属していない期間の扱い○ デフォルトではクレジットカード決済15
中途半端な請求を発生させないために● 仮定1 : 請求金額は1時間ごとに計算している?○ だいたい時間課金のコスト体系16
中途半端な請求を発生させないために● 仮定2 : 請求金額が確定するまでに新しい組織に組み込まれたら請求が発生しないのでは?○ 一括請求の適用外になっている期間を1時間以内に納めたら新組織で請求されるのではないか○ もしくはコストが発生しても十分小さい金額になるように頑張る17
AWS Organizations 組織移動 RTA Tips● 旧組織にいる時点で新組織から移動対象のAWS アカウントに組織の招待を送信する● 旧組織から離脱したら、すかさず新組織からの招待を受諾する18
19その2 : 他アカウントで購入した RI/SP を使えなくなる
20同一組織内で共有している RI/SP● 組織から外れた時点で他 AWS アカウントから RI/SP が共有されなくなる
組織移動を見越した RI/SP 購買● 他アカウントの RI/SP を使っている場合は買い増しを検討する○ 共有している/されている RI/SP は AWS CUR で確認できる● RI/SP 購買を計画と組織移動の計画をリンクさせる21
22その 3 : AWS ControlTower と競合する AWS リソースが作成されている
23AWS Control Tower によって作られる AWS リソース (一部)
24AWS Config● リージョンにつき1つしか作成できないリソースを AWS Control Tower が使用する○ AWS CloudFormation のスタックで管理される
AWS Control Tower との競合を避ける● AWS Control Tower への組み込み前に AWSサポートに該当するリソースを作らないように依頼する● 既存のリソースを手で修正する25
運用上の課題● AWS Control Tower のバージョンアップなどでアカウント単位での更新ができなくなる○ Acccount Factory でのアカウントの登録でエラーになる○ OU の再適用によって更新する26
27その 4 : ポリシーで組織ID を使っている
28組織 ID を IAM ポリシーで使う● aws:PrincipalOrgId● aws:ResourceOrgPaths● aws:ResourceOrgId
潜んでいそうなところ29● IAM のポリシードキュメント○ awscli で使用箇所を特定することは可能● リソースポリシードキュメント○ 各 AWS サービスに散らばっているので網羅的な調査が難しい
30最後に
31AWS アカウント管理は面白い● 普段では意識しないところで色々と考えることがある● AWS アカウントのガバナンス強化にはまだまだチャレンジできるところが残っている
3232