AWS Organizations 完全ガイド|マルチアカウント統合管理
AWS Organizations は 複数 AWS アカウントを 1 つの組織として統合管理するサービス。一括請求(Consolidated Billing)・SCP(Service Control Policy)でのガバナンス・新規アカウント作成自動化 を提供し、エンタ...
複数 AWS アカウントを統合管理するサービス。SCP・一括請求・サービス統制を提供。
1. 概要(端的に)
AWS Organizations は 複数 AWS アカウントを 1 つの組織として統合管理するサービス。一括請求(Consolidated Billing)・SCP(Service Control Policy)でのガバナンス・新規アカウント作成自動化 を提供し、エンタープライズのマルチアカウント運用の基盤となる。
2. 何ができるか
- 一括請求:複数アカウントの請求を 1 箇所に
- アカウント作成自動化:API でアカウント新規作成
- SCP(Service Control Policy):組織横断でサービス制限
- OU(Organizational Unit):アカウントの階層化
- Volume Discount:複数アカウント合計でボリューム割引
- マルチアカウント連携:Identity Center / Config / GuardDuty 等の統合
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | 無料 |
| 管理アカウント | 全権限の中央アカウント |
| メンバーアカウント | 通常の AWS アカウント |
| OU | アカウントの論理グループ |
| SCP | OU や個別アカウントに適用するポリシー |
OU の階層例
Root
├ Production OU
│ ├ アカウント A(本番 Web)
│ └ アカウント B(本番 DB)
├ Development OU
│ ├ アカウント C(開発)
│ └ アカウント D(検証)
└ Sandbox OU
└ アカウント E(実験用)4. 仕組み
Organizations は 管理アカウント(Management Account) を頂点とし、複数の メンバーアカウント を組織化する。
主要機能
- All Features:SCP・OU・全機能利用可
- Consolidated Billing Only:請求集約のみ(古いオプション)
SCP(Service Control Policy)
- IAM ポリシーに似た JSON
- メンバーアカウントの 最大権限 を制限
- IAM ポリシーで Allow されていても、SCP で Deny されたら使用不可
- root アカウントにも適用される(全員影響)
一括請求の利点
- Reserved Instance / Savings Plans の共有:組織全体で活用
- Volume Discount:合計額に基づく割引適用
- コスト集約管理
5. ユースケース
ユースケース 1:マルチアカウント統制
本番 / 開発 / 検証アカウントを Organizations で統合。
ユースケース 2:環境別ガードレール
本番 OU には削除禁止 SCP、開発 OU には自由に。
ユースケース 3:コスト最適化
RI / SP を組織全体で共有 → 利用率向上。
ユースケース 4:新規アカウント自動化
チーム別・プロジェクト別にアカウント自動作成。
ユースケース 5:セキュリティガバナンス
SCP で root の特定操作禁止・指定リージョン外利用禁止。
6. 関連用語
- SCP — Organizations のガードレール
- Control-Tower — Organizations の上位(自動セットアップ)
- Identity-Center — マルチアカウント認証
- RAM — リソース共有
- IAM — アカウント内の権限制御
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 高 | マルチアカウント管理の概念 |
| SAA | 高 | OU 設計・SCP・一括請求 |
| DVA | 中 | クロスアカウント連携 |
| SOA | 中 | 組織管理運用 |