AWS Organizations 組織を移動する時に 考えること 100 連発 (AWS Control Tower への組み込みを添えて) / Hatena Engineer Seminar #20
by
nabeo
Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
AWS Organizations 組織を移動する時に 考えること 100 連発 AWS Control Tower への組み込みを添えて id:nabeop / @nabeo 2022/06/07 Hatena Engineer Seminar #20 AWS Renovation 編 1
Slide 2
Slide 2 text
自己紹介 組織・基盤開発本部 プラットフォーム部 システムプラットフォームチーム SRE id:nabeop Twitter : @nabeo https://twitter.com/nabeo Blog : https://nabeop.hatenablog.com/ 2
Slide 3
Slide 3 text
AWS アカウント管理のガバナンス強化 3 【開催報告】アップデート紹介とちょっぴり Dive Deep する AWS の時間 第十七回 (04/28) https://aws.amazon.com/jp/blogs/news/update-divedeep-series-17/
Slide 4
Slide 4 text
用語の整理 (AWS アカウントの種類) ● 管理アカウント ○ AWS Organizations の組織を管理する AWS アカウント ● メンバーアカウント ○ AWS Organizations の組織に入っている AWS アカウント ● payer アカウント ○ AWS アカウントの費用の支払い責任をもつ AWS アカウント 4
Slide 5
Slide 5 text
5 AWS Organizations の組織移動 と AWS Control Tower への組み 込み手順
Slide 6
Slide 6 text
6 手順 1 旧組織から離脱する
Slide 7
Slide 7 text
7 手順 2 新組織に加入する
Slide 8
Slide 8 text
8 手順 3 新組織の AWS Control Tower に組み込む
Slide 9
Slide 9 text
9 ね?簡単でしょ??
Slide 10
Slide 10 text
10 簡単ではない!!
Slide 11
Slide 11 text
お品書き ● 一括請求の対象から外れる ● RI/SP が共有できない ● AWS Control Tower と競合する AWS リソー ス ● ポリシーで組織 ID を使っているケース 11
Slide 12
Slide 12 text
12 その1 : 一括請求から外れる
Slide 13
Slide 13 text
13 AWS Organizations の一括請求機能 ● 組織内のメンバーアカウントの請求を1つの AWS アカウントにまとめる ● 請求書が1つにまとまるので管理が楽になる
Slide 14
Slide 14 text
組織移動中の payer アカウントの変化 ● 旧組織に所属している期間 ○ payer アカウントは旧組織の管理アカウント ● どの組織にも所属していない期間 ○ payer アカウントは自分自身 ● 新組織に所属している期間 ○ payer アカウントは新組織の管理アカウント 14
Slide 15
Slide 15 text
煩雑な請求手続き ● 最大で3つに分割されて請求される ● どの組織にも所属していない期間の扱い ○ デフォルトではクレジットカード決済 15
Slide 16
Slide 16 text
中途半端な請求を発生させないために ● 仮定1 : 請求金額は1時間ごとに計算してい る? ○ だいたい時間課金のコスト体系 16
Slide 17
Slide 17 text
中途半端な請求を発生させないために ● 仮定2 : 請求金額が確定するまでに新しい組織 に組み込まれたら請求が発生しないのでは? ○ 一括請求の適用外になっている期間を1時間以内に納 めたら新組織で請求されるのではないか ○ もしくはコストが発生しても十分小さい金額になるよ うに頑張る 17
Slide 18
Slide 18 text
AWS Organizations 組織移動 RTA Tips ● 旧組織にいる時点で新組織から移動対象の AWS アカウントに組織の招待を送信する ● 旧組織から離脱したら、すかさず新組織から の招待を受諾する 18
Slide 19
Slide 19 text
19 その2 : 他アカウントで購 入した RI/SP を使えなく なる
Slide 20
Slide 20 text
20 同一組織内で共有している RI/SP ● 組織から外れた時点で他 AWS アカウントか ら RI/SP が共有されなくなる
Slide 21
Slide 21 text
組織移動を見越した RI/SP 購買 ● 他アカウントの RI/SP を使っている場合は買 い増しを検討する ○ 共有している/されている RI/SP は AWS CUR で確認 できる ● RI/SP 購買を計画と組織移動の計画をリンク させる 21
Slide 22
Slide 22 text
22 その 3 : AWS Control Tower と競合する AWS リ ソースが作成されている
Slide 23
Slide 23 text
23 AWS Control Tower によって作られる AWS リソース (一部)
Slide 24
Slide 24 text
24 AWS Config ● リージョンにつき1つしか作成できないリソー スを AWS Control Tower が使用する ○ AWS CloudFormation のスタックで管理される
Slide 25
Slide 25 text
AWS Control Tower との競合を避ける ● AWS Control Tower への組み込み前に AWS サポートに該当するリソースを作らないよう に依頼する ● 既存のリソースを手で修正する 25
Slide 26
Slide 26 text
運用上の課題 ● AWS Control Tower のバージョンアップなど でアカウント単位での更新ができなくなる ○ Acccount Factory でのアカウントの登録でエラーに なる ○ OU の再適用によって更新する 26
Slide 27
Slide 27 text
27 その 4 : ポリシーで組織 ID を使っている
Slide 28
Slide 28 text
28 組織 ID を IAM ポリシーで使う ● aws:PrincipalOrgId ● aws:ResourceOrgPaths ● aws:ResourceOrgId
Slide 29
Slide 29 text
潜んでいそうなところ 29 ● IAM のポリシードキュメント ○ awscli で使用箇所を特定することは可能 ● リソースポリシードキュメント ○ 各 AWS サービスに散らばっているので網羅的な調査 が難しい
Slide 30
Slide 30 text
30 最後に
Slide 31
Slide 31 text
31 AWS アカウント管理は面白い ● 普段では意識しないところで色々と考えるこ とがある ● AWS アカウントのガバナンス強化にはまだま だチャレンジできるところが残っている
Slide 32
Slide 32 text
32 32