AWS Organizationsはなぜ必要?メリットは?ユースケースも解説!
社内でAWS活用を推進するにあたっては「いかに環境を管理・統制するか」が大きな課題となります。最近では、用途ごとなどにAWSアカウントを分ける「マルチアカウント」での利用が推奨されていますが、そこで押さえておきたいのがマルチアカウント環境の管理・統制を実現する「AWS Organizations」です。具体的になにができるのか、基本からメリット、ユースケースをまとめました。
目次
AWS Organizationsとは
AWS Organizationsは、複数のAWSアカウントを一元管理するためのサービスです。1つの管理用アカウントと複数のメンバーアカウントで構成され、「メンバーアカウントをグループ化し、それぞれにポリシーを設定できること」「請求が管理アカウントに一元化されること」が主な特長となります。
このグループは「Organizational Unit(OU)」と呼ばれ、ワークロードの種類や用途、予算単位などごとにOUを作成、メンバーアカウントを所属させて、管理します。また、セキュリティやログなどに関するポリシーを作成し、全体に適用できるほか、OUごとに設定することも可能です。
なぜ、AWS Organizationsが必要なのか?
同一企業内であっても、部署やシステム、用途によってAWSの利用方法は大きく異なります。これらを1つのAWSアカウントで運用することもできますが、求められるセキュリティレベルの違いや予算管理などが難しくなるケースも多く、ワークロードごとなどにAWSアカウントを細かく分ける「マルチアカウント」での運用が推奨されています。
例えば、本番環境・非本番環境でアカウントを分け、本番環境は厳格なセキュリティを設定、非本番環境は開発しやすいよう制限を緩和する、と設定を変えて利用するケースなどが挙げられます。これにより、ミスによるインシデントなどのリスクを低減できるのです。このほか、利用料金を効率的かつ確実に管理するために、予算の単位でアカウントを分ける方法もよく見られます。
様々なメリットのあるマルチアカウントですが、企業として使うとなると、これらをどう統制するかが課題になります。 アカウントごとに「どのように利用しているか」を把握する必要がありますし、基本的なセキュリティ設定の統一も欠かせません。こういった複数アカウント利用時の統制を容易にし、運用コストを軽減するのが、まさにAWS Organizationsです。
また、AWS Organizations自体の機能は無料で利用できます。
広がるAWS活用、組織内の大量のアカウントを簡単に管理・統制する方法は?
プロジェクトごとに利用されている大量のAWSアカウントを管理するために、クラスメソッドが行っている支援やノウハウについてご紹介します。
目次
- アカウント管理の不徹底がインシデントの温床に
- 利用すべきAWSサービス&管理のアプローチとは?
- マルチアカウントを簡単に管理できるプランを用意
- 多くの日本企業がAWS活用の統制強化に成功
AWS Organizationsで得られる3つのメリット
<メリット 1>複数アカウント運用の工数削減
まずはAWS Organizationsの基本とも言える、マルチアカウントの運用工数削減です。組織に属するアカウントについて、1つずつポリシーを設定し、適切に運用されているか個別にチェックするのは負担が大きいもの。これらを一元的に制御することで、大幅な工数削減につながります。
<メリット 2>セキュリティ統制を実現
AWSの主要なセキュリティサービスの多くはAWS Organizations連携に対応しています。それらを活用してマルチアカウントのセキュリティ統制を実現できる点もメリットです。してはいけない操作を未然に禁止する「予防的ガードレール」、リスクのある構成などを検知・通知する「発見的ガードレール」の両者を、アカウントを横断して設定できるため、設定ミス・設定漏れを防ぎ、セキュリティ統制の徹底・対策強化につながります。グループ単位で設定することも可能で、「どのアカウントがどの設定になっているか」を簡単に確認できる点もメリットです。
<メリット 3>利用料の一元管理・一括請求
冒頭でも少し触れましたが、AWS Organizationsでは所属するアカウントの利用料は管理アカウントに一括請求されるため、支払い処理などの負担を軽減できます。また、1アカウントに集約することで、全アカウントでの利用状況をベースにボリュームディスカウントが適用されます。個別に利用するよりも、適用のハードルが下がり、コスト削減につながる可能性が高まります。 もちろん、アカウントごとの利用料は個別に管理でき、部署ごとの予算に対する利用実績などを容易に把握できるようになります。
AWS Organizationsユースケース
様々なメリットのあるAWS Organizationsですが、具体的にどのように利用し、どのような効果を得られるのか、2つのユースケースで解説します。
<ユースケース 1>プロジェクト単位でアカウントを分ける
1つのAWSアカウントを複数プロジェクトで利用していると、リソースが乱立し、「間違えて違うプロジェクトのリソースを操作してしまい、セキュリティインシデントにつながってしまった」「ほかのワークロードが影響して、システムトラブルが発生した」など様々な問題が起きやすくなります。セキュリティ面でも、厳格なセキュリティを設定したいワークロードと、ある程度融通が利く環境が求められるワークロードを適切に管理し続けるのは難しいでしょう。コストについても、タグを使うことで分類できますが、制御・分析にはかなり手間がかかり、どの部署がどれだけ使ったかを的確に把握できなくなるケースも出てきます。どのプロジェクトのものかわからない「野良リソース」などの問題もあり、統制できない環境はリスクが大きいと言わざるを得ません。
AWS Organizationsを用いて、しっかりコンセプトを設計した上で実装することで、これらの問題はすべて解決できます。コストもアカウントごとに把握できるほか、セキュリティの権限分離も容易です。リソースごとの責任も明確になり、統制の利いた運用を実現できます。
<ユースケース 2>サンドボックス環境として活用
AWS Organizationsを利用することで、新規AWSアカウント作成のハードルが大きく下がるため、必要に応じてAWSアカウントを作成し、不要になったら削除といった運用が容易になります。AWSアカウントを作成しただけではコストは発生しないため、サンドボックス環境として新しいAWSアカウントを作成するといった活用法も有効です。
例えば、新人研修で利用する勉強用のAWS環境を1人・1つずつ提供する、大学などの教育機関で学生ごとにAWS環境を提供するといった運用です。こうすることで、他人のリソースを見られないようにできます。誤操作などのトラブルを防ぐためにも、1人・1つの環境を用意するスタイルをお勧めします。
これらの環境は、予防的ガードレールとして、利用可能なリージョンやサービスを制限できるほか、「無駄に大きなEC2インスタンスを作成して、予定外のコストが発生してしまった」といったことがないように制限することも可能です。コストについてもAWS Budgetと連携し、「研修で利用する環境は1人あたり1ヵ月いくらまで」と上限を決めてアラート通知することもできます。
AWS Organizations利用もクラスメソッドがサポート
企業として全社でAWS活用を進めるならば、マルチアカウントでの利用を強くお勧めします。そして全体での運用効率化・ガバナンス徹底を考えれば、AWS Organizationsはぜひ使っておきたいサービスです。
クラスメソッドが提供するAWS総合支援「クラスメソッドメンバーズ」では、AWS Organizations利用者を対象とした組織管理プランを用意しています。組織管理プランをご利用いただくことで、自社だけではボリュームディスカウント対象にならないケースでも、利用規模にかかわらずAWS利用料に一律4%のディスカウント価格が適用されます。また、2,600社以上に技術提供してきたクラスメソッドのノウハウをベースとしたAWSガバナンスに関するナレッジ集などを提供しているほか、ご要望に応じて、マルチアカウント関連の設計から構築までサポートするコンサルティング支援サービスもご提供可能です。
マルチアカウントは企業ごとの事情や用途などにあわせて、どうアカウントをグループ分けし、ポリシーを設定するかの設計が肝心です。「どう考えればよいのかわからない」「設計が適切かどうか不安」など、まずはご相談ください。
クラスメソッドメンバーズ資料公開中!
クラスメソッドメンバーズは無償でご利用できる請求代行から、ご要望に応じて選べる運用保守やコンサルティング、マイグレーション(環境移行)など幅広いご支援まで、ビジネスのステージに合わせてご活用いただけます。
ダウンロード資料一覧
- クラスメソッド会社概要
- AWS総合支援サービス「クラスメソッドメンバーズ」
- サービス利用事例集
公開日 2022年12月14日