想ひ出4: AWS Organizationsを設定する

おはようございます、moqrinです。
掲題の件、設定した際に、
皆さんのように能力が高いと特筆することもないということなのか、
記事が少ない気がしたので対応を記録しておきます。

チュートリアル : 組織の作成と設定を参考に設定していきます。

機能としては、一括で子アカウントの請求を支払えるということと、
IAMをアカウント単位で設定できる(任意)、みたいなことですかね。

既存のアカウントAをマスターにして、既存のアカウントBを子アカウントにする設定をしていきますー。OUの設定は省きます。

1. マスターアカウントを設定

管理者としてアカウントAにサインインし、マスターとしてそのアカウントで組織を作成し、
既存カウントBをメンバーアカウントとして参加するように招待します。
とりあえず、アカウントAのAWS Organizationsにいく。

[Create new organization] ダイアログボックスで、
[ENABLE ALL FEATURES] を選択した後、[Create organization] を選択します。

右上で [Settings] を選択して、すべての機能(Enable All Features)を有効にされていることを確認します。

これをマスターアカウントとします。

2. 子アカウントを設定

[Accounts] タブを選択すると、アカウント名の隣に星印があります。
それがマスターアカウントです。

[Accounts] タブで [Add account] を選択した後、[Invite account] を選択します。

[Account ID or email] ボックスに、招待するアカウントの所有者のEメールアドレスを入力します。

[Invite] を選択すると、アカウントBの所有者に招待が送信されます。

マスターアカウントAから AWS によって送信されたEメールを開きます。
サインインするように求められたら、招待されたメンバーアカウントの管理者としてログインします。AWS Organizationsのコンソールを開き、[Invitations] を選択します。

メンバーアカウントBからサインアウトし、
マスターアカウントの管理者ユーザーとして再度サインインして、
AWS Organizations のAccountsを見てみると、増えていますねー。

3. root のサービスコントロールポリシータイプを有効にする

[Details] ペインで、[Service Control] の下の [Service control policies are not enabled] の横で、[Enable] を選択します。

これでSCPはrootに対して有効になったので、root および OUにアタッチすることができます。

4. ポリシーの作成

S3とIAMのみの権限を付与したポリシーを作成しました。

5. ポリシーを子アカウントにアタッチ

ウィンドウの右側にある情報パネルで [CONTROL POLICIES] を展開し、[Attach policy] を選択

6. 確認

うむ、ポリシーで許可したサービス以外は利用できません。ありがとうございました。

既存のアカウントの場合は、手動でRoleを紐付けてアカウント切替を出来るようにしないといけないっぽいです。
クロスアカウントの設定を別途すると宜しいでしょう〜。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

%d人のブロガーが「いいね」をつけました。