Memo/AmazonWebServices/Organizations

Organizations

Organizations †

複数のAWSアカウントを管理できる。
awscliのorganizationsからAWSアカウントを作ると、billingの設定等を省略できる。

連携可能なサービス
- AWS Organizations で使用できる AWS のサービス - AWS Organizations

記事

↑

AwsOrganizationFormation: OSSの管理ツール †

[OlafConijn/AwsOrganizationFormation: Better than landingzones!](https://github.com/OlafConijn/AwsOrganizationFormation)

良さそうな点
- CloudFormationっぽいyamlで定義できる。
- 既存のorganizationをコード化できる。

イマイチそうな点
- CloudFormationと同様にyamlが長い

記事
- [【個人的には神ツール】AwsOrganizationFormation（OSS）でAWS Organizationsをコードで管理する｜ Developers.IO](https://dev.classmethod.jp/cloud/aws/oss-iac-org-formation/)

↑

CloudFormationでの自動化 †

記事

↑

タグポリシー：タグの値に制限を付ける †

記事
- [新機能] タグポリシー機能がOrganization追加されてタグの値を制御できるようになりました｜ Developers.IO

↑

CloudTrailの有効化 †

組織の証跡の作成 - AWS CloudTrail
- OrganizationsのAWSにs3 bucketが一つでき、その中に全てのOrganizationsのログが貯まる。
- OrganizationsにAWSアカウントが追加されても、自動で追加される。

記事
- 【Organizations】組織レベルで CloudTrailの証跡を有効化、S3バケットへ集約する | Developers.IO

↑

aws cliでAWSアカウント追加 †

既に設定済みのAWS accountに別のAWS accountを追加する事で、住所、請求情報等を入力せずに済む。

consolidated billing設定済みのAWS accountはOrganizationsに表示されていた。
profileで指定するのは、請求を纏めているAWS account
デフォルトだと上限20アカウント(15アカウント+招待5アカウント)まで。サポートから上限緩和申請は可能
- AWS Organizations の制限
root accountのパスワードは発行されないので、STSを利用するか、パスワードリセットから初期化した。

追加

aws --profile default organizations create-account --email aws+company1@example.com --account-name "company1"
{
    "CreateAccountStatus": {
        "RequestedTimestamp": 1495507958.1234567,
        "State": "IN_PROGRESS",
        "Id": "car-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
        "AccountName": "company1"
    }
}

確認

aws --profile default  organizations describe-create-account-status --create-account-request-id car-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

# 成功した場合
{
    "CreateAccountStatus": {
        "AccountName": "company1",
        "State": "SUCCEEDED",
        "RequestedTimestamp": 1495507959.1234567,
        "CompletedTimestamp": 1495507959.1234567,
        "Id": "car-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
        "AccountId": "123456789012"
    }
}

# 上限に達して作成できない場合
...
        "State": "FAILED",
...
        "FailureReason": "ACCOUNT_LIMIT_EXCEEDED",
...