サービス概要
本サービスは「CUVIC on AWSサービス」のソリューションメニューのひとつであり、複数のAWSアカウントの管理を簡素化し、AWS Organizationsと連携可能なAWSサービスの活用によりアカウント全体での一元的な統制をもたらします。
お客様専用の管理アカウントを提供し、AWS Organizationsの機能を開放します。これにより、「AWS Control Tower」「AWS Single Sign-On」など、AWS Organizationsと連携する各種サービスをお客様にてご利用いただけます。
AWS Organizationsとは?
AWSアカウントの一元管理を実現するサービスです
- AWS Organizationsでできること
-
マルチアカウントの課題
本サービス提供の背景
ビジネスにおけるクラウド利活用の普及に伴いアカウントやユーザー数も増え、複数のアカウントを利用してアプリケーションやシステムを展開する企業が増加しています。アカウントが増えるとアカウントの管理はより複雑になり、アカウントの用途やユーザに応じた適切な権限のコントロールが難しくなります。
そのため近年、アカウントの統合管理機能を求める傾向が強くなっています。
複数アカウントを管理する上でのよくある課題
- 課題1
- 各システム環境やユーザに応じた適切な権限のコントロールが難しい
AWS Organizations機能を利用して解決
複数のアカウントをグループにまとめて、グループ単位で利用可能なサービスの制限やセキュリティポリシーの適用を実施することが可能です。
利用できる機能
サービスコントロールポリシー (SCP)
- サービス/リソースへのアクセスの制御をアカウントに適用する機能です。
- IAMポリシーと同じ構文で設定を行うことができるので、AWSに慣れた方ならどなたでも簡単に利用することができます。
- SCPを組織単位(OU)に付与することで、組織単位(OU)内のすべてのアカウントにそのポリシーが継承され、アカウントの管理や制限が簡単に設定できます。
- 課題2
- 1ユーザに対してアクセスするアカウントが複数あり、管理しきれない
AWS Organizations機能を利用して解決
社内 Active Directoryと連携し、複数のAWSアカウントへのアクセス管理や権限設定を行えます。
利用できる機能
AWS Single Sign-On
- 組織内のメンバーアカウントへのアクセスを簡単に設定することができます。
- AWS Single Sign-Onの機能からユーザやグループを作成することができ、アクセス権限を付与することができるため、各メンバーアカウントへアクセスするユーザの権限管理が容易になります。
- 外部IDプロバイダーとの連携も可能のため、社内で利用されているActive Directory認証情報を用いてAWSアカウントへアクセスすることも可能です。
- 課題3
- 個々のアカウントに対しセキュリティ要件を適用するのが大変
AWS Organizations機能を利用して解決
全アカウントのログやサービスのステータスを集約し、一元的な管理・監視を実現します。
利用できる機能
AWS Control Tower
- AWS ConfigやSCP、AWS CloudTrailを用いてAWSのベストプラクティスに基づいたルールを設定し、各アカウントの統制を制御することが可能です。
- AWS Control Towerを設定することでセキュアなマルチアカウント環境を実現することができます。
- AWS Control Towerには様々なガバナンスルールが用意されており、そのルールの選定もお客様にて実施できるため、効率的に複数のアカウントを統制することができます。
お客様のご希望にあったサービスをご利用いただけます
そのほか利用可能なAWS Organizationsサービス(例)
ご要望
AWS Organizations連携サービス
- ご要望
- 複数のAWSアカウントに同じ環境を構築・変更・削除したい
- AWS Organizations連携サービス
-
AWS CloudFormation StackSets
- ご要望
- すべてのアカウントに対して悪意のあるアクティビティを検出したい
- AWS Organizations連携サービス
-
Amazon GuardDuty
- ご要望
- 利用しているアカウント全体のAWSリソースの障害情報が知りたい
- AWS Organizations連携サービス
-
AWS Health
- ご要望
- アカウント間でポートフォリオ(ITサービスの設定)を共有したい
- AWS Organizations連携サービス
-
AWS Service Catalog
- ご要望
- すべてのアカウントのセキュリティ状態を把握したい
- AWS Organizations連携サービス
-
AWS Security Hub
- ご要望
- 所有しているAWSリソースをほかのアカウントにも共有したい
- AWS Organizations連携サービス
-
AWS Resource Access Manager
- ご要望
- AWSアカウントに対する操作イベントの証跡を記録したい
- AWS Organizations連携サービス
-
AWS CloudTrail
- ご要望
- AWSリソースの設定に関するガバナンスの状態を評価したい
- AWS Organizations連携サービス
-
AWS Config
- ご要望
- メトリクスを分析して最適なAWSリソースを設定したい
- AWS Organizations連携サービス
-
AWS Compute Optimizer
AWSマルチアカウント管理サービス
- 本サービスでは、お客様専用の管理アカウントを提供することで、AWS Organizationsの機能がご利用いただけます。
- 管理アカウントを操作できるIAMユーザをお客様に提供することで、要件に応じてAWS Organizationsサービスをお好みに合わせて設定できます。
- 管理アカウントではなくメンバーアカウントに機能を委任できるサービスもあるため、利用目的に応じたAWSアカウントの使い分けができます。
- お客様側で管理アカウントを運用せずにAWS Organizationsサービスを使いたい場合は、CTCにて作業代行を実施することも可能です。
管理アカウント:アカウントの作成・招待やSCPの適用などができ、組織を作成・管理するためのアカウント
組織:一元管理可能な複数AWSアカウントの集まりであり、最低1つのマスターアカウントから構成される
メンバーアカウント:組織内の管理アカウント以外のAWSアカウント
CTCの強み
AWS Organizationsサービスを利用するだけでは、思ったように課題が解決できない場合があります。 CTCではお客様の目的や方針に沿って、最適な運用をサポートするコンサルティングサービスをご提供しています。
こんな悩みに対応します
CTCが提供するAWSコンサルティングサービス
- AWSスタートアッププラン
-
- AWS認定エンジニアがワークショップ形式でAWSの本知識・注意点・留意事項などのインプットを行います。
- お客様の社内ルールや業務/アプリケーションの要求をヒアリングし、AWS利用のための要件を整理します。
- AWSガイドライン策定プラン
-
- AWS認定エンジニアが、共通基盤の利用ユーザ、利用サービス、 運用範囲、責任分解点などを整理し、お客様の社内ルールを反映したAWS利用ガイドライン策定を行います。
よくあるお問い合わせ(FAQ)
Q. 現在利用しているAWSアカウントに対して本サービスを適用できますか?
A. 適用可能です。ただし当社へアカウントを移管いただく必要があります。
Q. AWS Organizations機能の利用にあたって制限事項はありますか?
A. 原則、AWS Organizations機能につきましては制限していません。
ただし、管理アカウントの管理者権限が必要となる操作に関しては制限を行っております。設定操作ができない場合はCTCにて作業代行を実施してAWS Organizationsサービスを提供いたします。
Q. メンバーアカウントのRootアカウントは利用可能でしょうか?
A. メンバーアカウントのRootアカウントをご利用いただくことは可能です。 また、RootアカウントをCTCにて管理することも可能です。お客様のご要望に合わせてご選択いただけます。
