AWS Organizationsは、複数のAWSアカウントを一元的に管理・制御するサービスです。複数のクラウド環境を運用している企業にとっては、効率的な運用を実現するサービスになっています。また、クラウド環境の規模が大きくなるほど、AWS Organizationsの有用性は高まります。本記事では、「AWS Organizations」について解説していきます。1、AWS Organizationsの概要AWS Organizationsは、複数のAWSアカウントを統合することで、複数アカウントに対して、一元的にポリシー管理や請求管理を行うことが可能になります。(1)AWS OrganizationsとはAWS Organizationsとは、複数のAWSアカウントを統合することで、一つの組織として一元管理することができるAWSサービスです。組織内のAWSアカウントは「管理アカウント(親アカウント)」と「メンバーアカウント(子アカウント)」に分かれます。管理アカウントは1つの組織に1アカウントのみ存在し、組織全体の管理権限を持ち、組織のグループごとにポリシーベースの権限設定や、請求管理を行うことが可能です。(2)AWS Organizationsの仕組み公式ドキュメント参照:AWS Organizations の用語と概念上記は、AWS Organizationsの基本的な構成図になり、構成図の組織は5つのアカウントで構成されています。Organization rootが割り当てられている管理アカウントを親として、4つの組織単位(OU)に分割されています。各メンバーアカウントは、単一もしくは複数の組織単位(OU)が割り当てられていることが特徴です。また、複数のポリシーが存在しており、OUもしくはアカウント自体へ直接アタッチされていることも特徴です。以下でAWS Organizationsで活用される用語の解説をします。①組織AWS Organizationsで管理する対象の全体総称②Organizational Unit(OU)アカウントをグループ分けするための論理的なコンテナ③管理アカウント組織全体を構成するために、基盤となる管理者用のアカウント④メンバーアカウント組織内に存在する管理アカウント以外のアカウント⑤サービスコントロールポリシー(SCP)OUやアカウントに割り当てるポリシーで、使用できるサービスやアクションを指定することが可能(3)AWS Organizationsの料金AWS OrganizationsはAWSユーザーであれば追加料金無しの無料で利用することが可能です。同一の組織内でAWSアカウントを複数管理している場合は、一元的に管理することが可能になるため、導入することをおすすめします。2、AWS Organizationsの特徴とメリットAWS Organizationsの最大のメリットは、複数のAWSアカウントを一元的に管理できることです。一元管理を行うことによって下記のようなメリットがあります。(1)複数アカウント管理の工数削減AWS Organizationsで一元的にアカウント管理を行うことが可能なため、各アカウントに対して、ポリシー設定といった個別で行っていた管理を一元的に管理することで、管理の工数が大幅に削減されます。(2)セキュリティの統一OU単位でポリシーを割り当てることで、OUに参加しているアカウント全てに対してポリシーが適用されます。アカウントを横断したポリシーの割り当てが可能なため、設定ミスや設定漏れを防ぎ、セキュリティの強化・統一を実現することが可能です。(3)請求管理AWS Organizationsへ所属しているアカウントの利用料は、全て管理アカウントに一括請求されるため、支払処理の負担を軽減することが可能です。加えて、管理アカウントに支払を集約させることで、ボリュームディスカウントが適用されるため、コスト削減に繋がる可能性があります。更に、各アカウントごとに予算設定を割り当てることが可能なため、個別アカウントごとの利用状況を把握することが可能です。3、AWS OrganizationsのユースケースAWS Organizationsのユースケースは非常に多岐に渡りますが、一例をご紹介します。(1)新規インフラ環境の構築プロセス効率化AWS上で新たなインフラ環境を構築する際、AWSアカウントの新規作成からグループの追加、サービスコントロールポリシー(SCP)の適用までのプロセスを自動化することで効率化を実現できます。更に、AWS CloudFormationやAWS Audit Managerと連携することで、インフラのデプロイメントや構築後の自己監査も自動で行うことが可能です。(2)SCPを活用したセキュリティポリシーに基づくアカウント管理自社のセキュリティポリシーに従い、SCPを適用してアカウントごとの操作を制限します。また、AWS CloudTrailを活用してグループに属するアカウントの操作ログを取得することができます。さらに、AWS Control Towerと統合することで、複数アカウントを一元的に監視し、管理を強化することができます。4、アカウント一元管理と共にログの一元監視も実現するには弊社では、ダッシュボード上でログを一元管理することで、効率的なログ監視を行うことができる「srest」を提供しております。AWSログに限らず、各インフラサービスのログに対してログデータの加工を行っているため、Amazon Web Services(AWS)をはじめ、Datadog、PagerDuty、Sentry といったインフラ系サービスのイベントログの可視化をアカウントを跨いで一元管理が可能です。(1)AWSログも一元的に横断検索・横断可視化によりインシデント発生時の調査を効率化イベントログ検索・ソート機能・日付指定やフィルタ機能を用いて、イベントログを、アカウントを横断した柔軟な検索を行うことで、複数インフラサービスのログデータを一元化し、インシデント発生時の調査対応を効率化します。検索・可視化対象はAWSログに限らず各インフラサービスのイベントログに対しても行うことが可能です。また、監視ツールで計測しているSLOの計測値を複数サービスを横断する形でsrest上で可視化することで、複数サービスの健康状態を一元的にチェックすることができます。(2)AWSログのリアルタイム可視化・通知による迅速検知イベントログに対して具体的なアラート条件を設定することができ、設定した条件を満たすイベントが発生した際は、自動的にSlackやメール等のコミュニケーションチャネルを通じて通知が送信されるため、インシデント発生時やセキュリティ侵害による不正等を迅速に検知します。リアルタイム可視化・通知に関しても、AWSログに限らず、各インフラサービスのイベントログに対してリアルタイム可視化・通知が可能です。まとめ本記事では、AWS Organizationsの概要から、メリット、ユースケースをご紹介させて頂きました。AWSユーザーであれば、無料で複数アカウントを一元管理することができるため、ぜひ利用を推奨するサービスとなります。