AWS Organizations のユースケースで学ぶ AWS アカウント管理のベストプラクティス「AWS Organizations でマルチアカウント戦略を始めよう」

by いたくら

Slide 1

Slide 1 text

AWS Organizations で   マルチアカウント戦略を始めよう   2025/09/04  AWS Organizations のユースケースで学ぶ AWS アカウント管理のベストプラクティス  1

Slide 2

Slide 2 text

2 AWSを使う上での悩みこんなお悩みありませんか？

Slide 3

Slide 3 text

3 よくある課題：混在するシステム ● システムが１AWSアカウントに混在

Slide 4

Slide 4 text

4 よくある課題：権限分割ができてない ● 本番環境、誰でも触れちゃう問題

Slide 5

Slide 5 text

5 これらの課題を解決するにはマルチアカウント運用！

Slide 6

Slide 6 text

6 AWS Well-Architected Frameworkでも ● AWS Well-Architected Frameworkのセキュリティの柱においてもマルチアカウント戦略は強く推奨 ※SEC01-BP01 アカウントを使用してワークロードを分ける : - セキュリティの柱より

Slide 7

Slide 7 text

7 マルチアカウント運用のメリット ● 権限の分離

Slide 8

Slide 8 text

8 マルチアカウント運用のメリット ● 請求単位の分離

Slide 9

Slide 9 text

9 マルチアカウント運用のメリット ● リソース管理単位の分離

Slide 10

Slide 10 text

10 マルチアカウント運用ならではの課題

Slide 11

Slide 11 text

11 マルチアカウント運用の課題 ● マルチアカウントで運用すると今度はマルチアカウントならではの悩みが・・・ ○ アカウント管理 ■ 各アカウントへのログインと権限管理 ■ 各アカウントのベース設定の統一 ○ コスト管理 ■ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる ○ セキュリティ統制 ■ どうやってAWSアカウント全体のセキュリティを統制するか・・・などなど

Slide 12

Slide 12 text

12 マルチアカウント運用の課題 ● マルチアカウントで運用すると今度はマルチアカウントならではの悩みが・・・ ○ アカウント管理 ■ 各AWSアカウントへのログインと権限管理 ■ AWSアカウントのベース設定の統一 ○ コスト管理 ■ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる ○ セキュリティ統制 ■ どうやってAWSアカウント全体のセキュリティを統制するか・・・などなどこれらの課題解決をサポートするのが

Slide 13

Slide 13 text

13 AWS Organizations

Slide 14

Slide 14 text

14 今日はこれらの課題を AWS Organizationsでどう解決するのかをお伝えします

Slide 15

Slide 15 text

15 その前にAWS Organizationsの概要 ● AWS Organizations（以後Organizasions）とは ※AWS Organizations terminology and concepts - AWS Organizations より

Slide 16

Slide 16 text

16 その前にAWS Organizationsの概要 ● Organizasionsの機能概要のおさらい ○ コスト一括管理 ■ 管理アカウントから全てのアカウントの請求情報にアクセス ○ AWSアカウントの階層的なグループ化 ■ OUという単位でアカウントをグループ化 ■ OU単位でSCPというポリシー制限をかけたり、 CloudFormationStackSetsを実行することが可能 ○ 他のAWSサービスとの統合 ■ Organizations対応しているAWSサービスで組織単位で設定を実施したり、管理することが可能

Slide 17

Slide 17 text

17 マルチアカウント運用の課題（再掲） ● マルチアカウントで運用すると今度はマルチアカウントならではの悩みが・・・ ○ アカウント管理 ■ 各アカウントへのログインと権限管理 ■ 各アカウントのベース設定の統一 ○ コスト管理 ■ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる ○ セキュリティ統制 ■ どうやってAWSアカウント全体のセキュリティを統制するか・・・などなど

Slide 18

Slide 18 text

18 各AWSアカウントへのログインと権限管理 ● マルチアカウントでのID管理の課題 IDの統合をする必要がある

Slide 19

Slide 19 text

19 AWS Organizationsを使わない場合 ● Jumpアカウントを使ってログイン ※DevelopersIO：マルチアカウントな AWS環境のマネジメントコンソールへのアクセス方法をまとめてみたの図を元に一部改変 ➔ この方式の課題点 ◆ 利用者観点 ● AWSアカウント範囲でしかIDが統合できてない ● スイッチ先AWSアカウント等を各ユーザで管理 ◆ 管理者観点 ● AWSアカウントごとのIAM作成変更

Slide 20

Slide 20 text

20 AWS Organizationsを使わない場合 ● 外部IDプロバイダーを使ってログイン ➔ この方式の課題点 ◆ 利用者観点 ● AWS CLI使用に一工夫必要 ◆ 管理者観点 ● AWSアカウントごとのIAM作成変更 ● AWSアカウントごとにIdPとの信頼関係を結ぶ必要あり ※DevelopersIO：マルチアカウントな AWS環境のマネジメントコンソールへのアクセス方法をまとめてみたの図を元に一部改変

Slide 21

Slide 21 text

21 AWS Organizationsを使うと ● 外部IDプロバイダーのIDを使ってIAM Identity Centerでログイン ➔ 便利になる点 ◆ 利用者観点 ● 普段使っているIDでログイン ● AWS CLIサポート ◆ 管理者観点 ● 各AWSアカウントへのIAMロールの作成・変更が不要 ➔ 設計が必要なポイント ◆ 許可セットの権限設計 ◆ ユーザ、アカウント、許可セットの関連付け

Slide 22

Slide 22 text

22 AWSアカウントのベースライン設定の統一 ● マルチアカウントでの各AWSアカウント設定の課題 ➔ 以下のような設定は各アカウントで合わせておきたい（一例） ● Amazon GuardDuty設定 ● AWS Security Hub CSPM設定 ● AWS CloudTrail設定 ● AWS Config設定 ● Amazon S3ブロックパブリックアクセス AWSアカウント作成時に毎回初期設定する必要がある ● Amazon Detective設定 ● VPC設定 ● AWS Resource Access Manager ● AWS Backup設定設定変更の検知・設定変更防止

Slide 23

Slide 23 text

23 AWS Organizationsを使わない場合 ● AWSアカウント作成時の初期設定 ○ IaCを使用してベースライン設定を構築 ■ AWSアカウント新規作成時にAWS CloudFormationやTerraform を手動実行 ■ ただしAWS CloudFormationでサポートされていないような設定もある（AWS Security Hub CSPMのメンバーアカウント招待等） ● 自作スクリプト等で対応する必要あり

Slide 24

Slide 24 text

24 AWS Organizationsを使わない場合 ● 設定変更の検知 ○ AWS Security Hub CSPM ： ■ AWSアカウント内の危険なAWSリソース設定を監視 ○ AWS Config： ■ AWSアカウント内の各リソースの設定変更履歴を保持 ■ 設定変更内容を評価して通知等することも可能 ○ どちらも非Organizations環境でも、一つの管理用AWSアカウントに情報集約することは可能 ➔ 課題点 ◆ 新規作成AWSアカウントごとに有効化や招待等の設定をする必要がある

Slide 25

Slide 25 text

25 AWS Organizationsを使うと組織・OU単位で初期設定を統一組織・OU単位で設定変更の検知や防止を設定組織という単位で設定ができるように OUという単位で設定ができるように

Slide 26

Slide 26 text

26 AWS Organizationsを使うと ● Organizations連携サービスによる組織単位の設定 ○ 組織のメンバーアカウントとしてAWSアカウントを作成すれば自動で有効化や招待を実行 ○ Security Hub CSPMやAWS Config等ではメンバーアカウント側で一部の設定変更が不可となるので設定変更防止効果もある ○ SCPを使って特定サービスの無効化を禁止するといった対策もとれる

Slide 27

Slide 27 text

27 カスタムのベースライン設定の選択肢項目 IaC種類 AWS Control Tower要否参考URL 備考 StepFunctions IaCではなく Lambda等でSDK やAPIを実行不要 - アカウント発行イベントをトリガーにStepFunctionsを起動するといったことも可 Terraform Terraform 不要 https://dev.classmethod .jp/articles/terraform-mu ltiple-provider-configura tion-using-aws-crossac count/ Multiple Provider Configurationsを使うことでマルチアカウントでの構築がやりやすくなる AWS CloudFormationSt acksets CloudFormation （CDKで記述することも可能）不要 https://dev.classmethod .jp/articles/baseline-aut o-deploy-by-cfn-stacks ets/ OU参加時に自動で実行できる。git push等で自動更新したい場合は作り込みの必要あり Baseline Environment on AWS CDK マルチアカウント版の場合、必要 https://github.com/aws- samples/baseline-envir onment-on-aws/blob/m ain/README_ja.md 手動,CDKPipeline 等のデプロイ手段が用意されている

Slide 28

Slide 28 text

28 カスタムのベースライン設定の選択肢項目 IaC種類 AWS Control Tower要否参考URL 備考 AWS Control Towerのカスタマイズ CloudFormationと設定用yaml 必要 https://dev.classmethod .jp/articles/customizatio ns-for-control-tower/ アカウントを発行した時やS3 等で管理する設定ファイルの更新をトリガーに実行 Account Factory For Terraform Terraform 必要 https://dev.classmethod .jp/articles/ct-account-fa ctory-for-terraform/ git pushをトリガーにアカウント発行や既存アカウントの変更を実施 Account Factory Customization Service Catalog(CloudFor mation) 必要 https://dev.classmethod .jp/articles/control-tower -account-factory-custo mization/ メンバーズの追加機能として、AWSアカウントをお客様自身で発行できる「 AWSアカウントセルフ発行」がございます！ → クラスメソッドメンバーズ、AWSアカウントセルフ発行機能を提供開始〜 IaC/CLIによる自動化・マルチアカウント管理の柔軟性向上〜 | クラスメソッド株式会社 AWSアカウントセルフ発行機能の利用希望のお申込みが必要となりますが、 CfCT、AFT、AFC をメンバーズでもご利用いただけるようになりました。

Slide 29

Slide 29 text

29 マルチアカウント運用の課題（再掲） ● マルチアカウントで運用すると今度はマルチアカウントならではの悩みが・・・ ○ アカウント管理 ■ 各アカウントへのログインと権限管理 ■ 各アカウントのベース設定の統一 ○ コスト管理 ■ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる ○ セキュリティ統制 ■ どうやってAWSアカウント全体のセキュリティを統制するか・・・などなど

Slide 30

Slide 30 text

30 Consolidating billing for AWS Organizations ● Organizations使用時のコスト観点でのメリット ○ 組織内AWSアカウントの料金をまとめて請求※ ○ ボリュームディスカウントが組織全体で計算される ○ Reserved InstancesとSavings Plansの割引共有 ○ 複数AWSアカウントのコストを一元管理 ※メンバーズにてAWSアカウントを使用されている場合は弊社 CMP上で設定したプロジェクト単位でのご請求となります

Slide 31

Slide 31 text

ボリュームディスカウント 31 ● AWSではボリュームディスカウントという仕組みがあり使用量が増えるほど安くなるリソースが存在 ● Organizationsを使うとそれが組織全体に適用

Slide 32

Slide 32 text

32 AWS OrganizationsでのRI/SP ● Organizationsなら余剰RI/SPを他アカウントに共有可能

Slide 33

Slide 33 text

● 超過防止に役立つ機能 ○ Cost Anomaly Detection ■ 機械学習によりコスト異常を検知し通知してくれるサービス ■ Organizationsの場合、配下のアカウント全てを見てくれる ■ モニター種別とアラートサブスクリプションの組み合わせで見るべき対象と通知先を決定 33 複数AWSアカウントのコストを一元管理 ※メンバーズにてAWSアカウントを使用されている場合、誤検知の可能性がある点をご了承ください

Slide 34

Slide 34 text

● 超過防止に役立つ機能 ○ AWS Budgets ■ 事前に予算を決めておいて超過した場合に通知 ■ Organizationsの場合、配下のアカウント全てを一箇所で設定 34 複数AWSアカウントのコストを一元管理 ※メンバーズにてAWSアカウントを使用されている場合、誤検知の可能性がある点をご了承ください

Slide 35

Slide 35 text

● 超過防止に役立つ機能 ○ Classmethod Members Portalの料金アラーム機能 ■ 事前に予算を決めておいて超過した場合に通知 ■ ３段階で設定可能 35 複数AWSアカウントのコストを一元管理メンバーズの御客様

Slide 36

Slide 36 text

● コスト見直しに役立つ機能 ○ Cost Optimization Hub ■ 特定のコスト最適化推奨事項をレコメンドするサービス ■ Organizationsの場合、配下のアカウント全てを一括表示 36 複数AWSアカウントのコストを一元管理 ※新しいコスト最適化ハブは、推奨アクションを一元化してコストを節約します | Amazon Web Services ブログより ※メンバーズにてAWSアカウントを使用されている場合、 RI/SP推奨事項は利用不可

Slide 37

Slide 37 text

37 マルチアカウント運用の課題（再掲） ● マルチアカウントで運用すると今度はマルチアカウントならではの悩みが・・・ ○ アカウント管理 ■ 各アカウントへのログインと権限管理 ■ 各アカウントのベース設定の統一 ○ コスト管理 ■ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる ○ セキュリティ統制 ■ どうやってAWSアカウント全体のセキュリティを統制するか・・・などなど

Slide 38

Slide 38 text

● 主なセキュリティ対策 ○ Security Hub CSPMによる設定チェック ○ Amazon GuardDutyによる脅威検出 ○ SCPによる予防的統制 ○ IAM Access Analyzerによるリソースのチェック ○ CloudTrailによる監査ログ保管 ○ Amazon Inspectorによる脆弱性情報収集・・・などなど 38 セキュリティ対策で出来ることはたくさん

Slide 39

Slide 39 text

● AWS SecurityHub CSPM は Organizations 統合可能なサービス 39 AWS SecurityHub CSPM ● 統合するとメンバーアカウントの情報が一箇所に集約 ● リージョン集約設定により各リージョンの結果も一箇所に ※マルチアカウント環境でセキュリティサービスの検出結果を全て Security Hubに集約して通知してみた | DevelopersIO より

Slide 40

Slide 40 text

● 中央設定により更に便利に ○ 2023/11のアップデートにより委任管理アカウントから各メンバーアカウントの設定を細かく設定可能に ■ Security Hub CSPM の有効化/無効化 ■ どのセキュリティ標準を有効とするか ■ どのコントロール有効/無効とするか ○ 設定は全アカウント、OU、個別のアカウントと適用先を選べる ○ リージョン集約設定をしていれば他リージョンにも設定が展開 ○ 参考 ■ [アップデート]AWS Security Hubの組織への展開がセキュリティ標準やコントロールなどをカスタマイズして設定できるようになりました！ 40 AWS SecurityHub CSPM

Slide 41

Slide 41 text

● GuardDutyもOrganizations統合可能なサービス ○ 委任管理アカウントで設定を行えばアカウント追加時に自動で有効化 ■ S3保護、RDS保護等のオプションはアカウント毎に有効無効を選べる ○ ただしGuardDutyではSecurityHubのように他リージョンに設定を展開してくれないのでリージョン毎に設定を行う必要あり ○ 設定方法は以下のブログを参照 ■ Organizations 環境で Amazon GuardDuty を全リージョンへ簡単セットアップしてみる 41 Amazon GuardDuty

Slide 42

Slide 42 text

● 設定だけでなく通知して対処するのが大事 42 Security Hub CSPM, GuardDutyの通知 ● Security Hub CSPMはOrganization統合しており、リージョン集約設定もしていれば委任管理アカウント上の一つのリージョンで通知を集約できる ● GuardDutyはデフォルトでSecurity Hub CSPMと統合されており、検知結果は自動的にSecurity Hub SCPMに取り込まれる ○ つまりSecurityHub CSPMで発生したイベントを通知する設定を行えば、 GuardDutyのイベントも含めて通知が可能に ※【小ネタ】GuardDuty 通知は Security Hub 経由で行うとリージョン集約ができて便利より

Slide 43

Slide 43 text

● SCP（Service Control Policy） ○ OrganizationsではSCPで各メンバーアカウントに対して、IAMユーザやIAMロールのアクションに制限をかけることが可能 ○ OUやAWSアカウントに対してアタッチ ○ 管理アカウントには影響しない点に注意 ○ 主な使用例としてはリージョン制限等 ■ ご参考：サービスコントロールポリシーの例 ■ リージョン制限を行うだけでも全然違うのでまずはそこから ○ SCPについて知るには以下のブログがオススメ ■ AWS再入門2023 Organizations SCP編 | DevelopersIO 43 SCPによる予防的統制

Slide 44

Slide 44 text

Slide 45

Slide 45 text

45 AWS Control Tower

Slide 46

Slide 46 text

46 SCPによる予防的コントロールなど様々なコントロールを提供します

Slide 47

Slide 47 text

47 AWS Control Tower ● AWS Control Tower ○ シングルサインオン：IAM Identity Center を使用 ○ ログ集約：CloudTrail組織証跡、Configレコーダーを作成 ○ ガードレール：コントロールを提供 ○ AWSアカウント作成：Account Factoryを提供 ※AWS Black Belt Online Seminar AWS Control Tower 基礎編より引用

Slide 48

Slide 48 text

48 AWS Control Tower ● AWS Control Tower ○ シングルサインオン：IAM Identity Center を使用 ○ ログ集約：CloudTrail組織証跡、Configレコーダーを作成 ○ ガードレール：コントロールを提供 ○ AWSアカウント作成：Account Factoryを提供 ※AWS Black Belt Online Seminar AWS Control Tower 基礎編より引用

Slide 49

Slide 49 text

49 AWS Control Tower ● AWS Control Tower ○ ガードレール：コントロールを提供 ■ 2025/9/2時点で、コントロール数は 760 個 ■ 予防的コントロール ● SCP で提供 ● ポリシー違反につながるアクションを禁⽌する ■ 発見的コントロール ● Config Rules, Security Hub CSPMで提供 ● 望ましくないアクションを検出する ■ プロアクティブコントロール ● CloudFormation Hooks, CloudFormation Guard で提供 ● ポリシーに違反する AWS CloudFormation のデプロイをブロックする

Slide 50

Slide 50 text

50 AWS Control Tower ● 「実装 = SCP」＆「ガイダンス = 強く推奨」のコントロールを検討・設定しましょう ● 実装先が SCP 以外の「ガイダンス = 強く推奨」のコントロールも是非検討・設定しましょう SCPでリージョン制限を設定したら、次は何を設定すべきなんだろう？

Slide 51

Slide 51 text

51 AWS Control Tower ● AWS Control Tower ○ シングルサインオン：IAM Identity Center を使用 ○ ログ集約：CloudTrail組織証跡、Configレコーダーを作成 ○ ガードレール：コントロールを提供 ○ AWSアカウント作成：Account Factoryを提供 ※AWS Black Belt Online Seminar AWS Control Tower 基礎編より引用再掲

Slide 52

Slide 52 text

52 マルチアカウント管理していこうかな 😀 ってなりましたよね？

Slide 53

Slide 53 text

53 AWS Organizations や AWS Control Tower に興味が出てきたという方

Slide 54

Slide 54 text

54 AWS請求代行サービス（組織管理プランv2）組織管理プラン v2のポイント • 2024/4より開始した新プラン、従来より更に割引率UP • AWS Organizationsの他、AWS Control Towerも使用可能※１ ※１　詳細については弊社サイトにてご確認頂くか、弊社サイトのお問い合わせページよりお問い合わせください。 ※１中国リージョン、GovCloudは除きます。AWS Marketplaceなど一部のサービスは対象外となります。 AWS全サービス・全リージョン利用料一律4%OFF 組織管理プランv2

Slide 55

Slide 55 text

55 マルチアカウントにしたい、でもどこから手をつけたらいいか・・・という方

Slide 56

Slide 56 text

56 事例紹介（塩野義製薬株式会社様） • 一定のセキュリティレベルを担保しつ柔軟性の高いAWS環境を構築  • 社内インフラを有効活用したネットワーク構成、ユーザ管理体制   • 組織的なAWS運用体制を構築。クラスメソッドはチームで支援   • 社内の複数の部署で契約したAWSアカウントが点在   • 分散管理によってBCP、セキュリティリスクを懸念   • 属人的な管理体制からAWS運用の社内リソースが不足   マルチアカウントご支援ポイント • 塩野義製薬全体のAWSアカウントを横断するセキュリティ監視の一元化 • IAM Identity Centerを使って組織的なアカウントの一元管理と権限分割を実現お客様の声「既存の運用や構成を考慮して変更したいものや追加したい要件・要望などをこちらから伝え、その都度柔軟に応えていただけました。要望を伝えたあとのレスポンスの速さにも驚きましたね。IAMポリシーに関しても丁寧に教えていただいたことで細かく作り込むことができました。満足のいくものになり、大変感謝しております」 before after

Slide 57

Slide 57 text

57 事例紹介（株式会社アイスタイル様） • AWSのベストプラクティスに沿った構成を設計・構築  • 3カ月でマルチアカウント構成やオンプレミスとのネットワーク接続等を実現   • TerraformによるIaC化でインフラ構築・運用やアカウント設定を自動化 • AWS移行のファーストステップとなる共通基盤の設計・構築ノウハウが欲しい  • AWSへの早期移行に向けて短期間で共通基盤を構築したい   • インフラ構築・運用の負荷を軽減したいマルチアカウントご支援ポイント • AWS Control Towerによるマルチアカウント構成設計・構築 • AWS IAM Identity Centerによるユーザー管理設計・構築 • AWS Transit Gatewayによるオンプレミス環境とのネットワーク接続設計・構築お客様の声「内製開発を中心に進めていたものの、内部のエンジニアだけでは判断できないことも多く、折に触れてレビューをいただいたり、的確な助言をいただいたりできたことは、自信を持って前に進むうえでも心強い味方となりました。トラブルシューティングや、最新技術の調査においてもクラスメソッドからの知見の提供によって乗り切ることができました」 before after

Slide 58

Slide 58 text

58 自分たちで頑張ってみるぞ！という方

Slide 59

Slide 59 text

59 Classmethod Cloud Guidebook ● マルチアカウント関連ナレッジの他にもAWSガイドラインサンプル等、様々なコンテンツを掲載 AWS活用のノウハウが詰まったナレッジ集クラスメソッドの「 AWS請求代行」をご利用の御客様に無料公開例  例 