AWS Organizations チュートリアルからの学び
はじめに
AWS Organizationsの初学者が触った気づき、勘違いしたことを記載します。
AWS Organizationsの概念は理解していましたが実際に設計/構築の機械が乏しい為、理解を深める為のハンズオンを探しており最初は、このチュートリアルを実施しました。
AWS Organizations初学者の助けになれば幸いです
チュートリアル最初に実施した理由
- 提供が日本語 ※翻訳が不要
- シンプル
チュートリアルからの学び
- SCPの継承は、権限付与ではない ←これにフォーカス
- RootにSCPポリシーを適用しても、管理アカウントは影響を受けない
管理アカウント以外は、影響を受ける
※チュートリアルより脱線して確認 - Organizationsからメンバーアカウントを作成したAWSアカウントをメンバーより削除するには、7日間の経過が必要
※チュートリアルより脱線し実施して出来ない事象からの気づき - Organizationsで"メンバーアカウントの削除"は、Oranizations管理から外すことだった
※解約ではない - 解約は、Organizationsでは、"AWSアカウントの閉鎖" だった
- ルートユーザーの E メールアドレスは、アカウントを閉鎖しても再利用できない
作って/壊してを複数回実施する為には、事前に複数のメールアドレスを準備する必要がある - アカウントの閉鎖を抑止はSCPではできないので、IAMポリシーを利用する必要がある
※チュートリアルより脱線し実施 - 閉鎖後から90日以内なら、復帰が可能。ただし、能動的に復帰は出来ず、AWSサポートへ依頼が必要
※チュートリアルより脱線し実施
チュートリアル「組織の作成と設定」の構成イメージ
誤解していたSCPの継承
チュートリアルの動作確認で発生した疑問と理解できたこと
このチュートリアルで、OU:MainAppに含まれるAWSアカウント「上の図でsandbox03」で、禁止していない操作で、OU:ProductionでAllow以外の操作を実施したときに下記の疑問が発生した
- OU:MainAppには、OU:Productionと異なり、直接FullAWSAccessをアタッチしている(権限付与)ので利用できると思ったが、権限エラーで弾かれた
ドキュメントとクラメソさんのBlogを数回行き来して読み返して納得
- AWS ドキュメント
- クラメソさんのBlog
チュートリアルで出来る構成と挙動を言葉で伝える自身は無いので、イメージで表現
Appendix
-
AWS Organizations のチュートリアル
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_tutorials.html - RootにSCPポリシーを適用しても、管理アカウントは影響を受けない
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_tutorials_basic.html⇒Rootアカウントの制御できない理由:管理アカウントはSCPの対象外になる