type
status
date
slug
summary
tags
category
icon
password
理論
AWS OrganizationsとSCP
1. AWS Organizations
- 概要: 複数のAWSアカウントを一元的に管理するためのサービス。
- 主な特徴:
- 統合請求(Consolidated Billing):
- 複数のアカウントの請求をまとめて管理。
- 各アカウントの利用状況を個別に確認可能。
- 組織単位(OU: Organizational Units):
- アカウントをグループ化して管理を簡素化。
- 主な利点:
- コスト管理の効率化。
- ガバナンスポリシーを組織全体に適用可能。
2. SCP(サービスコントロールポリシー)
- 概要: AWS Organizationsで使用されるポリシーで、アカウントやOUで許可するAWSサービスやアクションを制御。
- 主な特徴:
- サービス制限: 特定のAWSサービスを許可または禁止。
- IAMポリシーとの違い: SCPは「何が許可されるかの上限」を設定する。IAMポリシーが許可していても、SCPで制限されている操作は実行不可。
- ルートユーザー制御不可: SCPはルートユーザーのアクションには影響しない。
- 活用例:
- セキュリティ要件に基づき、特定のリージョンやサービスを制限。
- 開発環境でコストの高いサービス(例: Amazon Redshift)を禁止。
3. 統合されたコスト管理
- AWS Organizationsの統合請求機能を活用すると以下が可能:
- 複数アカウントの請求をまとめて1つの請求書で管理。
- 各アカウントのコストを分割してトラッキング。
- 個別のアカウントごとの支出分析やコスト最適化が容易。
AWSベストプラクティス
- 一元管理: AWS Organizationsを使用して、複数のアカウントを効率的に管理。
- ガバナンス強化: SCPでポリシーを適用し、コンプライアンスやセキュリティ要件を満たす。
- コスト最適化: 統合請求でアカウント間のコスト管理を効率化。
これらを組み合わせることで、セキュアかつ効率的なマルチアカウント運用が実現します。
実践
略
一問道場
質問 #441
ある企業には複数の事業部門 (LOB: Line of Business) があり、それらは親会社に統合されています。この企業は、ソリューションアーキテクトに次の要件を満たすソリューションを開発するよう依頼しました:
- LOBが使用するすべてのAWSアカウントを対象に、1つのAWS請求書を作成する。
- 請求書には、各LOBアカウントのコストが個別に記載される。
- 企業のガバナンスポリシーで定義されたサービスや機能をLOBアカウントで制限できるようにする。
- ガバナンスポリシーに関係なく、各LOBアカウントにフル管理者権限を委譲する。
これらの要件を満たすために、ソリューションアーキテクトが取るべき手順の組み合わせはどれですか?(2つ選択してください)
A. AWS Organizations を使用して、親アカウント内に各LOB用の組織を作成し、それぞれのLOBアカウントを該当する組織に招待する。
B. AWS Organizations を使用して、親アカウント内に1つの組織を作成し、各LOBのAWSアカウントをその組織に招待する。
C. サービスクォータを実装し、許可されるサービスや機能を定義し、必要に応じて各LOBにクォータを適用する。
D. 承認されたサービスや機能のみを許可するSCP(サービスコントロールポリシー)を作成し、そのポリシーをLOBアカウントに適用する。
E. 親アカウントの請求コンソールで統合請求を有効化し、LOBアカウントをリンクする。
解説
以下は、選択肢 B と D を正解とする理由の詳細な解説です。
問題の要件整理
- 単一のAWS請求書で全アカウントをまとめる
- 全てのLOBアカウントのコストを1つの請求書に統合し、各アカウントのコストを個別に追跡できる仕組みが必要です。
- ガバナンスポリシーに基づいた制限を適用する
- 企業ポリシーに従い、特定のサービスや機能を制限する必要があります。
- LOBアカウントにはフル管理者権限を委譲する
- 各LOBが独立してフル管理者権限を持ちつつも、中央でガバナンスを効かせる必要があります。
選択肢の評価
B. AWS Organizationsを使用して、親アカウント内に1つの組織を作成し、各LOBのAWSアカウントをその組織に招待する。
- 理由:
- 単一の請求書でコストを管理(統合請求が自動的に有効化)
- サービスコントロールポリシー(SCP)の適用によるガバナンス強化
AWS Organizationsは、複数のAWSアカウントを一元的に管理できるサービスです。親アカウントに1つの組織を作成し、各LOBアカウントを招待することで以下を実現できます:
→ 要件1(請求の統合)と要件2(ガバナンス)をサポートする重要な選択肢です。
D. 承認されたサービスや機能のみを許可するSCP(サービスコントロールポリシー)を作成し、そのポリシーをLOBアカウントに適用する。
- 理由:
- 企業で許可されていないサービス(例: Amazon Redshift)を使用不可にする。
- 特定のリージョンでのみリソースを作成可能にする。
SCP(Service Control Policy)は、AWS Organizationsで使用されるポリシーで、特定のアクションやサービスを許可・制限できます。
SCPは「ルートアカウントでの設定」を制限できないため、各LOBアカウントにフル管理者権限を委譲しながら、ガバナンスポリシーに基づいた制限を適用することが可能です。
例えば:
→ 要件2(ガバナンスの制限)を直接的にサポートします。
不正解の選択肢
A. AWS Organizations を使用して、親アカウント内に各LOB用の組織を作成し、それぞれのLOBアカウントを該当する組織に招待する。
- 理由: AWS Organizationsでは、1つの親アカウントで複数の組織を作成することはできません。 組織は1つのみ作成可能で、各LOBアカウントをその組織に招待する形になります。→ 誤り。
C. サービスクォータを実装し、許可されるサービスや機能を定義し、必要に応じて各LOBにクォータを適用する。
- 理由: サービスクォータ(Service Quotas)はリソースの上限値を設定する機能です。 例えば、特定のリソースを「100個まで」などに制限できますが、サービスそのものを使用禁止にすることはできません。 ガバナンスの要件(特定のサービスや機能を制限)には適していません。→ 誤り。
E. 親アカウントの請求コンソールで統合請求を有効化し、LOBアカウントをリンクする。
- 理由: 統合請求はAWS Organizationsを使用することで自動的に有効化されるため、別途設定する必要はありません。また、この選択肢ではガバナンスの要件(ポリシーによる制限)が満たされません。→ 誤り。
結論
- B: AWS Organizationsを使用してLOBアカウントを一元管理する。
- D: SCPを用いてガバナンスポリシーに基づいた制限を適用する。
この2つを組み合わせることで、すべての要件を満たすソリューションを構築できます。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/17bd7ae8-88e2-8082-910e-f463379c5d5d
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
