Organizations †
複数のAWSアカウントを管理できる。
awscliのorganizationsからAWSアカウントを作ると、billingの設定等を省略できる。
SCP: サービスコントロールポリシー †
GuardDutyの有効化 †
IAM Access Analyzer †
AwsOrganizationFormation: OSSの管理ツール †
- 良さそうな点
- CloudFormationっぽいyamlで定義できる。
- 既存のorganizationをコード化できる。
- イマイチそうな点
- CloudFormationと同様にyamlが長い
CloudFormationでの自動化 †
タグポリシー:タグの値に制限を付ける †
CloudTrailの有効化 †
- 組織の証跡の作成 - AWS CloudTrail
- OrganizationsのAWSにs3 bucketが一つでき、その中に全てのOrganizationsのログが貯まる。
- OrganizationsにAWSアカウントが追加されても、自動で追加される。
aws cliでAWSアカウント追加 †
既に設定済みのAWS accountに別のAWS accountを追加する事で、住所、請求情報等を入力せずに済む。
- consolidated billing設定済みのAWS accountはOrganizationsに表示されていた。
- profileで指定するのは、請求を纏めているAWS account
- デフォルトだと上限20アカウント(15アカウント+招待5アカウント)まで。サポートから上限緩和申請は可能
- root accountのパスワードは発行されないので、STSを利用するか、パスワードリセットから初期化した。
- 追加
aws --profile default organizations create-account --email aws+company1@example.com --account-name "company1"
{
"CreateAccountStatus": {
"RequestedTimestamp": 1495507958.1234567,
"State": "IN_PROGRESS",
"Id": "car-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"AccountName": "company1"
}
}
- 確認
aws --profile default organizations describe-create-account-status --create-account-request-id car-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
# 成功した場合
{
"CreateAccountStatus": {
"AccountName": "company1",
"State": "SUCCEEDED",
"RequestedTimestamp": 1495507959.1234567,
"CompletedTimestamp": 1495507959.1234567,
"Id": "car-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
"AccountId": "123456789012"
}
}
# 上限に達して作成できない場合
...
"State": "FAILED",
...
"FailureReason": "ACCOUNT_LIMIT_EXCEEDED",
...