はじめに

AWS Organizationsの初学者が触った気づき、勘違いしたことを記載します。

AWS Organizationsの概念は理解していましたが実際に設計/構築の機械が乏しい為、理解を深める為のハンズオンを探しており最初は、このチュートリアルを実施しました。

AWS Organizations初学者の助けになれば幸いです

チュートリアル最初に実施した理由

• 提供が日本語　※翻訳が不要
• シンプル

チュートリアルからの学び

• SCPの継承は、権限付与ではない　←これにフォーカス
• RootにSCPポリシーを適用しても、管理アカウントは影響を受けない
  管理アカウント以外は、影響を受ける
  ※チュートリアルより脱線して確認
• Organizationsからメンバーアカウントを作成したAWSアカウントをメンバーより削除するには、7日間の経過が必要
  ※チュートリアルより脱線し実施して出来ない事象からの気づき
• Organizationsで"メンバーアカウントの削除"は、Oranizations管理から外すことだった
  ※解約ではない
• 解約は、Organizationsでは、"AWSアカウントの閉鎖"　だった
• ルートユーザーの E メールアドレスは、アカウントを閉鎖しても再利用できない
  作って/壊してを複数回実施する為には、事前に複数のメールアドレスを準備する必要がある
• アカウントの閉鎖を抑止はSCPではできないので、IAMポリシーを利用する必要がある
  ※チュートリアルより脱線し実施
• 閉鎖後から90日以内なら、復帰が可能。ただし、能動的に復帰は出来ず、AWSサポートへ依頼が必要
  ※チュートリアルより脱線し実施

チュートリアル「組織の作成と設定」の構成イメージ

誤解していたSCPの継承

チュートリアルの動作確認で発生した疑問と理解できたこと

このチュートリアルで、OU:MainAppに含まれるAWSアカウント「上の図でsandbox03」で、禁止していない操作で、OU:ProductionでAllow以外の操作を実施したときに下記の疑問が発生した

• OU:MainAppには、OU:Productionと異なり、直接FullAWSAccessをアタッチしている（権限付与）ので利用できると思ったが、権限エラーで弾かれた

ドキュメントとクラメソさんのBlogを数回行き来して読み返して納得

• AWS ドキュメント
  

  docs.aws.amazon.com

• クラメソさんのBlog
  

  dev.classmethod.jp

チュートリアルで出来る構成と挙動を言葉で伝える自身は無いので、イメージで表現

Appendix

• AWS Organizations のチュートリアル
  https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_tutorials.html

   

• RootにSCPポリシーを適用しても、管理アカウントは影響を受けない
  https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_tutorials_basic.html

  ⇒Rootアカウントの制御できない理由：管理アカウントはSCPの対象外になる