$30 off During Our Annual Pro Sale. View Details »

AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20

nabeo
June 07, 2022
Technology
2
2.1k

AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20

Hatena Engineer Seminar #20 AWS Renovation 編 https://hatena.connpass.com/event/249039/ の発表資料です

nabeo

June 07, 2022
Tweet

More Decks by nabeo

See All by nabeo
ヘンリーにおける可観測性獲得への取り組み
nabeo
2
1k
AWS CDK (TypeScript) を継続的にメンテ可能にするために取り入れているノウハウ集
nabeo
0
1k
AWS Transit Gateway を使った内部ネットワークの構成変更の話 / AWS Transit Gateway and Me
nabeo
0
340
Docker イメージのダイエットが成功するまで帰れまてん / Docker Image Diet Challenge
nabeo
4
3.7k
LVS 勉強会 (LVS Study)
nabeo
0
2.8k

Other Decks in Technology

See All in Technology
Java Language Future
chiroito
4
1.2k
スタートアップにおける、チーム拡大を見据えたコンポーネント分割の取り組み
rynsuke
2
760
AutoGenで作るLLM Agen
peisuke
1
150
つくばチャレンジ2023EX with PLATEAU@つくばセンター広場課題コース
tsukubachallenge
0
330
エンジニア不足の中で どう技術的負債と向き合ったのか RevComm Research の場合 -
revcomm_inc
4
3.2k
RealSense T265とD415とUFACTORY Lite 6で模倣学習の実験
hygradme
0
310
開発生産性の多角的接点〜1,000名のクリエイター組織 × 開発生産性〜 / Multifaceted touchpoints of development productivity
i35_267
2
410
Intlの今までとこれから
sajikix
7
2.8k
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
0
2.2k
フロントエンドリアーキテクチャリングと開発チームのスキルトランスファーにおける9ヶ月間の奮闘記
wakamsha
5
3.9k
実装がすべてではない、開発者の周りから考える Web プロダクトセキュリティ
oldbigbuddha
0
210
CloudNative_TrailMap_Study#2_20231114
tkhresk
1
110

Featured

See All Featured
Building Adaptive Systems
keathley
29
1.6k
Building Flexible Design Systems
yeseniaperezcruz
317
36k
Robots, Beer and Maslow
schacon
154
7.7k
GraphQLの誤解/rethinking-graphql
sonatard
45
8.7k
We Have a Design System, Now What?
morganepeng
41
6.4k
Code Review Best Practice
trishagee
53
14k
From Idea to $5000 a Month in 5 Months
shpigford
376
45k
Web development in the modern age
philhawksworth
201
9.9k
Web Components: a chance to create the future
zenorocha
304
41k
Fantastic passwords and where to find them - at NoRuKo
philnash
34
2.2k
Scaling GitHub
holman
455
140k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
4k

Transcript

  1. AWS Organizations 組織を移動する時に
    考えること 100 連発
    AWS Control Tower への組み込みを添えて
    id:nabeop / @nabeo
    2022/06/07 Hatena Engineer Seminar #20
    AWS Renovation 編
    1

    View Slide

  2. 自己紹介
    組織・基盤開発本部
    プラットフォーム部
    システムプラットフォームチーム
    SRE
    id:nabeop
    Twitter : @nabeo
    https://twitter.com/nabeo
    Blog :
    https://nabeop.hatenablog.com/
    2

    View Slide

  3. AWS アカウント管理のガバナンス強化
    3
    【開催報告】アップデート紹介とちょっぴり Dive Deep する AWS の時間 第十七回 (04/28) 

    https://aws.amazon.com/jp/blogs/news/update-divedeep-series-17/ 


    View Slide

  4. 用語の整理 (AWS アカウントの種類)
    ● 管理アカウント
    ○ AWS Organizations の組織を管理する AWS アカウント
    ● メンバーアカウント
    ○ AWS Organizations の組織に入っている AWS アカウント
    ● payer アカウント
    ○ AWS アカウントの費用の支払い責任をもつ AWS アカウント
    4

    View Slide

  5. 5
    AWS Organizations の組織移動
    と AWS Control Tower への組み
    込み手順

    View Slide

  6. 6
    手順 1
    旧組織から離脱する

    View Slide

  7. 7
    手順 2
    新組織に加入する

    View Slide

  8. 8
    手順 3
    新組織の AWS Control Tower に組み込む

    View Slide

  9. 9
    ね?簡単でしょ??

    View Slide

  10. 10
    簡単ではない!!

    View Slide

  11. お品書き
    ● 一括請求の対象から外れる
    ● RI/SP が共有できない
    ● AWS Control Tower と競合する AWS リソー

    ● ポリシーで組織 ID を使っているケース
    11

    View Slide

  12. 12
    その1 : 一括請求から外れる

    View Slide

  13. 13
    AWS Organizations の一括請求機能
    ● 組織内のメンバーアカウントの請求を1つの
    AWS アカウントにまとめる
    ● 請求書が1つにまとまるので管理が楽になる

    View Slide

  14. 組織移動中の payer アカウントの変化
    ● 旧組織に所属している期間
    ○ payer アカウントは旧組織の管理アカウント
    ● どの組織にも所属していない期間
    ○ payer アカウントは自分自身
    ● 新組織に所属している期間
    ○ payer アカウントは新組織の管理アカウント
    14

    View Slide

  15. 煩雑な請求手続き
    ● 最大で3つに分割されて請求される
    ● どの組織にも所属していない期間の扱い
    ○ デフォルトではクレジットカード決済
    15

    View Slide

  16. 中途半端な請求を発生させないために
    ● 仮定1 : 請求金額は1時間ごとに計算してい
    る?
    ○ だいたい時間課金のコスト体系
    16

    View Slide

  17. 中途半端な請求を発生させないために
    ● 仮定2 : 請求金額が確定するまでに新しい組織
    に組み込まれたら請求が発生しないのでは?
    ○ 一括請求の適用外になっている期間を1時間以内に納
    めたら新組織で請求されるのではないか
    ○ もしくはコストが発生しても十分小さい金額になるよ
    うに頑張る
    17

    View Slide

  18. AWS Organizations 組織移動 RTA Tips
    ● 旧組織にいる時点で新組織から移動対象の
    AWS アカウントに組織の招待を送信する
    ● 旧組織から離脱したら、すかさず新組織から
    の招待を受諾する
    18

    View Slide

  19. 19
    その2 : 他アカウントで購
    入した RI/SP を使えなく
    なる

    View Slide

  20. 20
    同一組織内で共有している RI/SP
    ● 組織から外れた時点で他 AWS アカウントか
    ら RI/SP が共有されなくなる

    View Slide

  21. 組織移動を見越した RI/SP 購買
    ● 他アカウントの RI/SP を使っている場合は買
    い増しを検討する
    ○ 共有している/されている RI/SP は AWS CUR で確認
    できる
    ● RI/SP 購買を計画と組織移動の計画をリンク
    させる
    21

    View Slide

  22. 22
    その 3 : AWS Control
    Tower と競合する AWS リ
    ソースが作成されている

    View Slide

  23. 23
    AWS Control Tower によって作られる AWS リソース (一部)

    View Slide

  24. 24
    AWS Config
    ● リージョンにつき1つしか作成できないリソー
    スを AWS Control Tower が使用する
    ○ AWS CloudFormation のスタックで管理される

    View Slide

  25. AWS Control Tower との競合を避ける
    ● AWS Control Tower への組み込み前に AWS
    サポートに該当するリソースを作らないよう
    に依頼する
    ● 既存のリソースを手で修正する
    25

    View Slide

  26. 運用上の課題
    ● AWS Control Tower のバージョンアップなど
    でアカウント単位での更新ができなくなる
    ○ Acccount Factory でのアカウントの登録でエラーに
    なる
    ○ OU の再適用によって更新する
    26

    View Slide

  27. 27
    その 4 : ポリシーで組織
    ID を使っている

    View Slide

  28. 28
    組織 ID を IAM ポリシーで使う
    ● aws:PrincipalOrgId
    ● aws:ResourceOrgPaths
    ● aws:ResourceOrgId

    View Slide

  29. 潜んでいそうなところ
    29
    ● IAM のポリシードキュメント
    ○ awscli で使用箇所を特定することは可能
    ● リソースポリシードキュメント
    ○ 各 AWS サービスに散らばっているので網羅的な調査
    が難しい

    View Slide

  30. 30
    最後に

    View Slide

  31. 31
    AWS アカウント管理は面白い
    ● 普段では意識しないところで色々と考えるこ
    とがある
    ● AWS アカウントのガバナンス強化にはまだま
    だチャレンジできるところが残っている

    View Slide

  32. 32
    32

    View Slide