Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS C...

Avatar for nabeo nabeo
June 07, 2022
Technology
2
3.3k

AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20

Hatena Engineer Seminar #20 AWS Renovation 編 https://hatena.connpass.com/event/249039/ の発表資料です

Avatar for nabeo

nabeo

June 07, 2022
Tweet

More Decks by nabeo

See All by nabeo
kotlin-lsp の開発開始に触発されて、Emacs で Kotlin 開発に挑戦した記録 / kotlin‑lsp as a Catalyst: My Journey to Kotlin Development in Emacs
Avatar for nabeo nabeo
2
550
SRE 文化の醸成: stream-aligned チームに Enabling するために実施した事例の解説 / Cloud Operator Days Tokyo 2025
Avatar for nabeo nabeo
0
190
kotlin-lsp を Emacs で使えるようにしてみた / use kotlin-lsp in Emacs
Avatar for nabeo nabeo
0
340
Docker Compose で手軽に手元環境を実現する / Simplifying Local Environments with Docker Compose #CinemaDeLT
Avatar for nabeo nabeo
0
530
OpenTelemetry Collector 自身のモニタリング / Monitoring the OpenTelemetry Collector itself
Avatar for nabeo nabeo
0
550
ヘンリーにおける可観測性獲得への取り組み
Avatar for nabeo nabeo
2
2.2k
AWS CDK (TypeScript) を継続的にメンテ可能にするために取り入れているノウハウ集
Avatar for nabeo nabeo
0
1.4k
AWS Transit Gateway を使った内部ネットワークの構成変更の話 / AWS Transit Gateway and Me
Avatar for nabeo nabeo
0
740
Docker イメージのダイエットが成功するまで帰れまてん / Docker Image Diet Challenge
Avatar for nabeo nabeo
4
4.2k

Other Decks in Technology

See All in Technology
ローカルLLM基礎知識 / local LLM basics 2025
Avatar for Naoki Kishida kishida
23
8.8k
セキュリティ対策としての PostgreSQL マイナーバージョンアップ
Avatar for Yuichiro Narita jri_narita
0
110
TypeScript 6.0で非推奨化されるオプションたち
Avatar for uhyo uhyo
15
5.4k
プロダクト負債と歩む持続可能なサービスを育てるための挑戦
Avatar for SansanTech sansantech
PRO
1
1.1k
機械学習を「社会実装」するということ 2025年冬版 / Social Implementation of Machine Learning November 2025 Version
Avatar for Moe Uchiike(内池 もえ) moepy_stats
4
500
adk-samples に学ぶデータ分析 LLM エージェント開発
Avatar for na0 na0
3
760
マルチドライブアーキテクチャ: 複数の駆動力でプロダクトを前進させる
Avatar for Kenichi SUZUKI knih
0
11k
AI時代の戦略的アーキテクチャ 〜Adaptable AI をアーキテクチャで実現する〜 / Enabling Adaptable AI Through Strategic Architecture
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
15
11k
『星の世界の地図の話: Google Sky MapをAI Agentでよみがえらせる』 - Google Developers DevFest Tokyo 2025
Avatar for Tomohiro Tani taniiicom
0
400
ブラウザ拡張のセキュリティの話 / Browser Extension Security
Avatar for GMO Flatt Security flatt_security
0
190
経営から紐解くデータマネジメント
Avatar for Jun Ernesto Okumura pacocat
5
1.2k
[続・営業向け 誰でも話せるOCI セールストーク] AWSよりOCIの優位性が分からない編(2025年11月21日開催)
Avatar for oracle4engineer oracle4engineer
PRO
1
130

Featured

See All Featured
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.4k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.8k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
17k
Navigating Team Friction
Avatar for Lara Hogan lara
190
16k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.8k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
38
2.9k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.3k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
162
23k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k

Transcript

  1. AWS Organizations 組織を移動する時に 考えること 100 連発 AWS Control Tower への組み込みを添えて

    id:nabeop / @nabeo 2022/06/07 Hatena Engineer Seminar #20 AWS Renovation 編 1

  2. 自己紹介 組織・基盤開発本部 プラットフォーム部 システムプラットフォームチーム SRE id:nabeop Twitter : @nabeo https://twitter.com/nabeo

    Blog : https://nabeop.hatenablog.com/ 2

  3. AWS アカウント管理のガバナンス強化 3 【開催報告】アップデート紹介とちょっぴり Dive Deep する AWS の時間 第十七回

    (04/28) 
 https://aws.amazon.com/jp/blogs/news/update-divedeep-series-17/ 


  4. 用語の整理 (AWS アカウントの種類) • 管理アカウント ◦ AWS Organizations の組織を管理する AWS

    アカウント • メンバーアカウント ◦ AWS Organizations の組織に入っている AWS アカウント • payer アカウント ◦ AWS アカウントの費用の支払い責任をもつ AWS アカウント 4

  5. 5 AWS Organizations の組織移動 と AWS Control Tower への組み 込み手順

  6. 6 手順 1 旧組織から離脱する

  7. 7 手順 2 新組織に加入する

  8. 8 手順 3 新組織の AWS Control Tower に組み込む

  9. 9 ね?簡単でしょ??

  10. 10 簡単ではない!!

  11. お品書き • 一括請求の対象から外れる • RI/SP が共有できない • AWS Control Tower

    と競合する AWS リソー ス • ポリシーで組織 ID を使っているケース 11

  12. 12 その1 : 一括請求から外れる

  13. 13 AWS Organizations の一括請求機能 • 組織内のメンバーアカウントの請求を1つの AWS アカウントにまとめる • 請求書が1つにまとまるので管理が楽になる

  14. 組織移動中の payer アカウントの変化 • 旧組織に所属している期間 ◦ payer アカウントは旧組織の管理アカウント • どの組織にも所属していない期間

    ◦ payer アカウントは自分自身 • 新組織に所属している期間 ◦ payer アカウントは新組織の管理アカウント 14

  15. 煩雑な請求手続き • 最大で3つに分割されて請求される • どの組織にも所属していない期間の扱い ◦ デフォルトではクレジットカード決済 15

  16. 中途半端な請求を発生させないために • 仮定1 : 請求金額は1時間ごとに計算してい る? ◦ だいたい時間課金のコスト体系 16

  17. 中途半端な請求を発生させないために • 仮定2 : 請求金額が確定するまでに新しい組織 に組み込まれたら請求が発生しないのでは? ◦ 一括請求の適用外になっている期間を1時間以内に納 めたら新組織で請求されるのではないか ◦

    もしくはコストが発生しても十分小さい金額になるよ うに頑張る 17

  18. AWS Organizations 組織移動 RTA Tips • 旧組織にいる時点で新組織から移動対象の AWS アカウントに組織の招待を送信する •

    旧組織から離脱したら、すかさず新組織から の招待を受諾する 18

  19. 19 その2 : 他アカウントで購 入した RI/SP を使えなく なる

  20. 20 同一組織内で共有している RI/SP • 組織から外れた時点で他 AWS アカウントか ら RI/SP が共有されなくなる

  21. 組織移動を見越した RI/SP 購買 • 他アカウントの RI/SP を使っている場合は買 い増しを検討する ◦ 共有している/されている

    RI/SP は AWS CUR で確認 できる • RI/SP 購買を計画と組織移動の計画をリンク させる 21

  22. 22 その 3 : AWS Control Tower と競合する AWS リ

    ソースが作成されている

  23. 23 AWS Control Tower によって作られる AWS リソース (一部)

  24. 24 AWS Config • リージョンにつき1つしか作成できないリソー スを AWS Control Tower が使用する

    ◦ AWS CloudFormation のスタックで管理される

  25. AWS Control Tower との競合を避ける • AWS Control Tower への組み込み前に AWS

    サポートに該当するリソースを作らないよう に依頼する • 既存のリソースを手で修正する 25

  26. 運用上の課題 • AWS Control Tower のバージョンアップなど でアカウント単位での更新ができなくなる ◦ Acccount Factory

    でのアカウントの登録でエラーに なる ◦ OU の再適用によって更新する 26

  27. 27 その 4 : ポリシーで組織 ID を使っている

  28. 28 組織 ID を IAM ポリシーで使う • aws:PrincipalOrgId • aws:ResourceOrgPaths

    • aws:ResourceOrgId

  29. 潜んでいそうなところ 29 • IAM のポリシードキュメント ◦ awscli で使用箇所を特定することは可能 • リソースポリシードキュメント

    ◦ 各 AWS サービスに散らばっているので網羅的な調査 が難しい

  30. 30 最後に

  31. 31 AWS アカウント管理は面白い • 普段では意識しないところで色々と考えるこ とがある • AWS アカウントのガバナンス強化にはまだま だチャレンジできるところが残っている

  32. 32 32