AWS Organizations 組織を移動する時に考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20

Slide 1

Slide 1 text

AWS Organizations 組織を移動する時に考えること 100 連発 AWS Control Tower への組み込みを添えて id:nabeop / @nabeo 2022/06/07 Hatena Engineer Seminar #20 AWS Renovation 編 1

Slide 2

Slide 2 text

自己紹介組織・基盤開発本部プラットフォーム部システムプラットフォームチーム SRE id:nabeop Twitter : @nabeo https://twitter.com/nabeo Blog : https://nabeop.hatenablog.com/ 2

Slide 3

Slide 3 text

AWS アカウント管理のガバナンス強化 3 【開催報告】アップデート紹介とちょっぴり Dive Deep する AWS の時間第十七回 (04/28)   https://aws.amazon.com/jp/blogs/news/update-divedeep-series-17/  

Slide 4

Slide 4 text

用語の整理 (AWS アカウントの種類) ● 管理アカウント ○ AWS Organizations の組織を管理する AWS アカウント ● メンバーアカウント ○ AWS Organizations の組織に入っている AWS アカウント ● payer アカウント ○ AWS アカウントの費用の支払い責任をもつ AWS アカウント 4

Slide 5

Slide 5 text

5 AWS Organizations の組織移動と AWS Control Tower への組み込み手順

Slide 6

Slide 6 text

6 手順 1 旧組織から離脱する

Slide 7

Slide 7 text

7 手順 2 新組織に加入する

Slide 8

Slide 8 text

8 手順 3 新組織の AWS Control Tower に組み込む

Slide 9

Slide 9 text

9 ね?簡単でしょ??

Slide 10

Slide 10 text

10 簡単ではない!!

Slide 11

Slide 11 text

お品書き ● 一括請求の対象から外れる ● RI/SP が共有できない ● AWS Control Tower と競合する AWS リソース ● ポリシーで組織 ID を使っているケース 11

Slide 12

Slide 12 text

12 その1 : 一括請求から外れる

Slide 13

Slide 13 text

13 AWS Organizations の一括請求機能 ● 組織内のメンバーアカウントの請求を1つの AWS アカウントにまとめる ● 請求書が1つにまとまるので管理が楽になる

Slide 14

Slide 14 text

組織移動中の payer アカウントの変化 ● 旧組織に所属している期間 ○ payer アカウントは旧組織の管理アカウント ● どの組織にも所属していない期間 ○ payer アカウントは自分自身 ● 新組織に所属している期間 ○ payer アカウントは新組織の管理アカウント 14

Slide 15

Slide 15 text

煩雑な請求手続き ● 最大で3つに分割されて請求される ● どの組織にも所属していない期間の扱い ○ デフォルトではクレジットカード決済 15

Slide 16

Slide 16 text

中途半端な請求を発生させないために ● 仮定1 : 請求金額は1時間ごとに計算している? ○ だいたい時間課金のコスト体系 16

Slide 17

Slide 17 text

中途半端な請求を発生させないために ● 仮定2 : 請求金額が確定するまでに新しい組織に組み込まれたら請求が発生しないのでは? ○ 一括請求の適用外になっている期間を1時間以内に納めたら新組織で請求されるのではないか ○ もしくはコストが発生しても十分小さい金額になるように頑張る 17

Slide 18

Slide 18 text

AWS Organizations 組織移動 RTA Tips ● 旧組織にいる時点で新組織から移動対象の AWS アカウントに組織の招待を送信する ● 旧組織から離脱したら、すかさず新組織からの招待を受諾する 18

Slide 19

Slide 19 text

19 その2 : 他アカウントで購入した RI/SP を使えなくなる

Slide 20

Slide 20 text

20 同一組織内で共有している RI/SP ● 組織から外れた時点で他 AWS アカウントから RI/SP が共有されなくなる

Slide 21

Slide 21 text

組織移動を見越した RI/SP 購買 ● 他アカウントの RI/SP を使っている場合は買い増しを検討する ○ 共有している/されている RI/SP は AWS CUR で確認できる ● RI/SP 購買を計画と組織移動の計画をリンクさせる 21

Slide 22

Slide 22 text

22 その 3 : AWS Control Tower と競合する AWS リソースが作成されている

Slide 23

Slide 23 text

23 AWS Control Tower によって作られる AWS リソース (一部)

Slide 24

Slide 24 text

24 AWS Conﬁg ● リージョンにつき1つしか作成できないリソースを AWS Control Tower が使用する ○ AWS CloudFormation のスタックで管理される

Slide 25

Slide 25 text

AWS Control Tower との競合を避ける ● AWS Control Tower への組み込み前に AWS サポートに該当するリソースを作らないように依頼する ● 既存のリソースを手で修正する 25

Slide 26

Slide 26 text

運用上の課題 ● AWS Control Tower のバージョンアップなどでアカウント単位での更新ができなくなる ○ Acccount Factory でのアカウントの登録でエラーになる ○ OU の再適用によって更新する 26

Slide 27

Slide 27 text

27 その 4 : ポリシーで組織 ID を使っている

Slide 28

Slide 28 text

28 組織 ID を IAM ポリシーで使う ● aws:PrincipalOrgId ● aws:ResourceOrgPaths ● aws:ResourceOrgId

Slide 29

Slide 29 text

潜んでいそうなところ 29 ● IAM のポリシードキュメント ○ awscli で使用箇所を特定することは可能 ● リソースポリシードキュメント ○ 各 AWS サービスに散らばっているので網羅的な調査が難しい

Slide 30

Slide 30 text

30 最後に

Slide 31

Slide 31 text

31 AWS アカウント管理は面白い ● 普段では意識しないところで色々と考えることがある ● AWS アカウントのガバナンス強化にはまだまだチャレンジできるところが残っている

Slide 32

Slide 32 text

32 32