Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20

2b1c860df69eb194fcba2e637b2b80a3?s=47 nabeo
June 07, 2022

AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20

Hatena Engineer Seminar #20 AWS Renovation 編 https://hatena.connpass.com/event/249039/ の発表資料です

2b1c860df69eb194fcba2e637b2b80a3?s=128

nabeo

June 07, 2022
Tweet

More Decks by nabeo

Other Decks in Technology

Transcript

  1. AWS Organizations 組織を移動する時に 考えること 100 連発 AWS Control Tower への組み込みを添えて

    id:nabeop / @nabeo 2022/06/07 Hatena Engineer Seminar #20 AWS Renovation 編 1
  2. 自己紹介 組織・基盤開発本部 プラットフォーム部 システムプラットフォームチーム SRE id:nabeop Twitter : @nabeo https://twitter.com/nabeo

    Blog : https://nabeop.hatenablog.com/ 2
  3. AWS アカウント管理のガバナンス強化 3 【開催報告】アップデート紹介とちょっぴり Dive Deep する AWS の時間 第十七回

    (04/28) 
 https://aws.amazon.com/jp/blogs/news/update-divedeep-series-17/ 

  4. 用語の整理 (AWS アカウントの種類) • 管理アカウント ◦ AWS Organizations の組織を管理する AWS

    アカウント • メンバーアカウント ◦ AWS Organizations の組織に入っている AWS アカウント • payer アカウント ◦ AWS アカウントの費用の支払い責任をもつ AWS アカウント 4
  5. 5 AWS Organizations の組織移動 と AWS Control Tower への組み 込み手順

  6. 6 手順 1 旧組織から離脱する

  7. 7 手順 2 新組織に加入する

  8. 8 手順 3 新組織の AWS Control Tower に組み込む

  9. 9 ね?簡単でしょ??

  10. 10 簡単ではない!!

  11. お品書き • 一括請求の対象から外れる • RI/SP が共有できない • AWS Control Tower

    と競合する AWS リソー ス • ポリシーで組織 ID を使っているケース 11
  12. 12 その1 : 一括請求から外れる

  13. 13 AWS Organizations の一括請求機能 • 組織内のメンバーアカウントの請求を1つの AWS アカウントにまとめる • 請求書が1つにまとまるので管理が楽になる

  14. 組織移動中の payer アカウントの変化 • 旧組織に所属している期間 ◦ payer アカウントは旧組織の管理アカウント • どの組織にも所属していない期間

    ◦ payer アカウントは自分自身 • 新組織に所属している期間 ◦ payer アカウントは新組織の管理アカウント 14
  15. 煩雑な請求手続き • 最大で3つに分割されて請求される • どの組織にも所属していない期間の扱い ◦ デフォルトではクレジットカード決済 15

  16. 中途半端な請求を発生させないために • 仮定1 : 請求金額は1時間ごとに計算してい る? ◦ だいたい時間課金のコスト体系 16

  17. 中途半端な請求を発生させないために • 仮定2 : 請求金額が確定するまでに新しい組織 に組み込まれたら請求が発生しないのでは? ◦ 一括請求の適用外になっている期間を1時間以内に納 めたら新組織で請求されるのではないか ◦

    もしくはコストが発生しても十分小さい金額になるよ うに頑張る 17
  18. AWS Organizations 組織移動 RTA Tips • 旧組織にいる時点で新組織から移動対象の AWS アカウントに組織の招待を送信する •

    旧組織から離脱したら、すかさず新組織から の招待を受諾する 18
  19. 19 その2 : 他アカウントで購 入した RI/SP を使えなく なる

  20. 20 同一組織内で共有している RI/SP • 組織から外れた時点で他 AWS アカウントか ら RI/SP が共有されなくなる

  21. 組織移動を見越した RI/SP 購買 • 他アカウントの RI/SP を使っている場合は買 い増しを検討する ◦ 共有している/されている

    RI/SP は AWS CUR で確認 できる • RI/SP 購買を計画と組織移動の計画をリンク させる 21
  22. 22 その 3 : AWS Control Tower と競合する AWS リ

    ソースが作成されている
  23. 23 AWS Control Tower によって作られる AWS リソース (一部)

  24. 24 AWS Config • リージョンにつき1つしか作成できないリソー スを AWS Control Tower が使用する

    ◦ AWS CloudFormation のスタックで管理される
  25. AWS Control Tower との競合を避ける • AWS Control Tower への組み込み前に AWS

    サポートに該当するリソースを作らないよう に依頼する • 既存のリソースを手で修正する 25
  26. 運用上の課題 • AWS Control Tower のバージョンアップなど でアカウント単位での更新ができなくなる ◦ Acccount Factory

    でのアカウントの登録でエラーに なる ◦ OU の再適用によって更新する 26
  27. 27 その 4 : ポリシーで組織 ID を使っている

  28. 28 組織 ID を IAM ポリシーで使う • aws:PrincipalOrgId • aws:ResourceOrgPaths

    • aws:ResourceOrgId
  29. 潜んでいそうなところ 29 • IAM のポリシードキュメント ◦ awscli で使用箇所を特定することは可能 • リソースポリシードキュメント

    ◦ 各 AWS サービスに散らばっているので網羅的な調査 が難しい
  30. 30 最後に

  31. 31 AWS アカウント管理は面白い • 普段では意識しないところで色々と考えるこ とがある • AWS アカウントのガバナンス強化にはまだま だチャレンジできるところが残っている

  32. 32 32