Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20

nabeo
June 07, 2022
Technology
2
1.5k

AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20

Hatena Engineer Seminar #20 AWS Renovation 編 https://hatena.connpass.com/event/249039/ の発表資料です

nabeo

June 07, 2022
Tweet

More Decks by nabeo

See All by nabeo
AWS CDK (TypeScript) を継続的にメンテ可能にするために取り入れているノウハウ集
nabeo
0
870
AWS Transit Gateway を使った内部ネットワークの構成変更の話 / AWS Transit Gateway and Me
nabeo
0
220
Docker イメージのダイエットが成功するまで帰れまてん / Docker Image Diet Challenge
nabeo
4
3.4k
LVS 勉強会 (LVS Study)
nabeo
0
2.6k

Other Decks in Technology

See All in Technology
「はたらく」前に知るべきIT企業5つのヒミツ 〜プロが教えるプロダクト開発最前線〜 / geeksai_2023spring
visional_engineering_and_design
0
220
「新卒エンジニアが1年間で顔を売るために取った行動100連発」/YAPC::Kyoto 2023 前日祭 ネコトーストラボ杯争奪東西対抗LTマッチ
arthur1
0
400
ワイヤレス電力伝送について
sbtechnight
PRO
0
370
What's Data Lake ? Azure Data Lake best practice
ryomaru0825
4
1.6k
量子コンピュータ時代のプログラミングセミナー / 20230316_Amplify_seminar _route_planning_optimization
fixstars
0
110
自動運転レベル4解禁にあたり求められる遠隔監視技術
sbtechnight
PRO
0
490
事業をエンジニアリングする技術者たちを支援する技術広報&DevRelの裏側 / devreljapan2023
carta_engineering
4
2.5k
エラーログをAlertで引っ掛けるときにEventTimer使ってみた話
sparty
0
130
私達のチームのデプロイ戦略の軌跡 〜継続的デプロイの導入に至るまで〜
hamakou108
0
140
ひとりでもチームでも! QAエンジニアのGIHOZ 活用方法をご紹介します
honamin09
0
100
ChatGPTにR言語を教えてもらう(仮)
doradora09
1
140
ノーコードAI開発プラットフォーム「AIMINA」のシステム設計コンセプトと技術的チャレンジ
sbtechnight
PRO
0
300

Featured

See All Featured
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
217
21k
A better future with KSS
kneath
230
16k
Unsuck your backbone
ammeep
659
56k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8k
Facilitating Awesome Meetings
lara
34
4.7k
What the flash - Photography Introduction
edds
64
10k
How to name files
jennybc
48
76k
Support Driven Design
roundedbygravity
88
8.9k
How GitHub Uses GitHub to Build GitHub
holman
466
280k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
121
29k
No one is an island. Learnings from fostering a developers community.
thoeni
12
1.6k

Transcript

  1. AWS Organizations 組織を移動する時に
    考えること 100 連発
    AWS Control Tower への組み込みを添えて
    id:nabeop / @nabeo
    2022/06/07 Hatena Engineer Seminar #20
    AWS Renovation 編
    1

    View Slide

  2. 自己紹介
    組織・基盤開発本部
    プラットフォーム部
    システムプラットフォームチーム
    SRE
    id:nabeop
    Twitter : @nabeo
    https://twitter.com/nabeo
    Blog :
    https://nabeop.hatenablog.com/
    2

    View Slide

  3. AWS アカウント管理のガバナンス強化
    3
    【開催報告】アップデート紹介とちょっぴり Dive Deep する AWS の時間 第十七回 (04/28) 

    https://aws.amazon.com/jp/blogs/news/update-divedeep-series-17/ 


    View Slide

  4. 用語の整理 (AWS アカウントの種類)
    ● 管理アカウント
    ○ AWS Organizations の組織を管理する AWS アカウント
    ● メンバーアカウント
    ○ AWS Organizations の組織に入っている AWS アカウント
    ● payer アカウント
    ○ AWS アカウントの費用の支払い責任をもつ AWS アカウント
    4

    View Slide

  5. 5
    AWS Organizations の組織移動
    と AWS Control Tower への組み
    込み手順

    View Slide

  6. 6
    手順 1
    旧組織から離脱する

    View Slide

  7. 7
    手順 2
    新組織に加入する

    View Slide

  8. 8
    手順 3
    新組織の AWS Control Tower に組み込む

    View Slide

  9. 9
    ね?簡単でしょ??

    View Slide

  10. 10
    簡単ではない!!

    View Slide

  11. お品書き
    ● 一括請求の対象から外れる
    ● RI/SP が共有できない
    ● AWS Control Tower と競合する AWS リソー

    ● ポリシーで組織 ID を使っているケース
    11

    View Slide

  12. 12
    その1 : 一括請求から外れる

    View Slide

  13. 13
    AWS Organizations の一括請求機能
    ● 組織内のメンバーアカウントの請求を1つの
    AWS アカウントにまとめる
    ● 請求書が1つにまとまるので管理が楽になる

    View Slide

  14. 組織移動中の payer アカウントの変化
    ● 旧組織に所属している期間
    ○ payer アカウントは旧組織の管理アカウント
    ● どの組織にも所属していない期間
    ○ payer アカウントは自分自身
    ● 新組織に所属している期間
    ○ payer アカウントは新組織の管理アカウント
    14

    View Slide

  15. 煩雑な請求手続き
    ● 最大で3つに分割されて請求される
    ● どの組織にも所属していない期間の扱い
    ○ デフォルトではクレジットカード決済
    15

    View Slide

  16. 中途半端な請求を発生させないために
    ● 仮定1 : 請求金額は1時間ごとに計算してい
    る?
    ○ だいたい時間課金のコスト体系
    16

    View Slide

  17. 中途半端な請求を発生させないために
    ● 仮定2 : 請求金額が確定するまでに新しい組織
    に組み込まれたら請求が発生しないのでは?
    ○ 一括請求の適用外になっている期間を1時間以内に納
    めたら新組織で請求されるのではないか
    ○ もしくはコストが発生しても十分小さい金額になるよ
    うに頑張る
    17

    View Slide

  18. AWS Organizations 組織移動 RTA Tips
    ● 旧組織にいる時点で新組織から移動対象の
    AWS アカウントに組織の招待を送信する
    ● 旧組織から離脱したら、すかさず新組織から
    の招待を受諾する
    18

    View Slide

  19. 19
    その2 : 他アカウントで購
    入した RI/SP を使えなく
    なる

    View Slide

  20. 20
    同一組織内で共有している RI/SP
    ● 組織から外れた時点で他 AWS アカウントか
    ら RI/SP が共有されなくなる

    View Slide

  21. 組織移動を見越した RI/SP 購買
    ● 他アカウントの RI/SP を使っている場合は買
    い増しを検討する
    ○ 共有している/されている RI/SP は AWS CUR で確認
    できる
    ● RI/SP 購買を計画と組織移動の計画をリンク
    させる
    21

    View Slide

  22. 22
    その 3 : AWS Control
    Tower と競合する AWS リ
    ソースが作成されている

    View Slide

  23. 23
    AWS Control Tower によって作られる AWS リソース (一部)

    View Slide

  24. 24
    AWS Config
    ● リージョンにつき1つしか作成できないリソー
    スを AWS Control Tower が使用する
    ○ AWS CloudFormation のスタックで管理される

    View Slide

  25. AWS Control Tower との競合を避ける
    ● AWS Control Tower への組み込み前に AWS
    サポートに該当するリソースを作らないよう
    に依頼する
    ● 既存のリソースを手で修正する
    25

    View Slide

  26. 運用上の課題
    ● AWS Control Tower のバージョンアップなど
    でアカウント単位での更新ができなくなる
    ○ Acccount Factory でのアカウントの登録でエラーに
    なる
    ○ OU の再適用によって更新する
    26

    View Slide

  27. 27
    その 4 : ポリシーで組織
    ID を使っている

    View Slide

  28. 28
    組織 ID を IAM ポリシーで使う
    ● aws:PrincipalOrgId
    ● aws:ResourceOrgPaths
    ● aws:ResourceOrgId

    View Slide

  29. 潜んでいそうなところ
    29
    ● IAM のポリシードキュメント
    ○ awscli で使用箇所を特定することは可能
    ● リソースポリシードキュメント
    ○ 各 AWS サービスに散らばっているので網羅的な調査
    が難しい

    View Slide

  30. 30
    最後に

    View Slide

  31. 31
    AWS アカウント管理は面白い
    ● 普段では意識しないところで色々と考えるこ
    とがある
    ● AWS アカウントのガバナンス強化にはまだま
    だチャレンジできるところが残っている

    View Slide

  32. 32
    32

    View Slide