はい、3ぃさんです!
仕事でAIを使う機会が増えてきました
大きい企業のプロジェクトでAI使いたいとなったときに
セキュリティ上どうなのとか、正しさの担保どうするのとか
色々考えなきゃいけないわけですが
使っていかないことには成長も難しいよねってことで
日本の企業もどんどんAI使っていけばいいのにね と思いながら生きてるよ
さあ、IAM最後の単元学んでいくよ
学んだこと
AWS Organizationsとは、複数のAWSアカウントを利用している時に、統合管理できるサービス
IAMは一つのアカウント内でユーザを管理するサービスのため
IAMとは、どの範囲で管理するのかで異なるサービス
AWS Organizationsの実現するサービス
| 複数アカウント 一元管理 | AWSアカウントをグループ化してポリシーを適用して一元的に管理する |
| 新規アカウント 作成管理 | コンソール、SDK、CLIでAWSアカウントを新規作成、作成内容のログ管理 |
| 一括請求 | 複数AWSアカウントの請求の一括化 |
支払いを一括管理にしたいが、ユーザ管理は各アカウントで分けたいというニーズや、
支払いもユーザ管理も一括管理したいというニーズの両方に応えることができる
アカウントの設定
AWSアカウントで別のアカウントに招待をし、承認するという流れで設定が可能
一元管理するAWSアカウントをマスターアカウント
管理されるアカウントをメンバーアカウントという
以下のA〜CのAWSアカウントはメンバーアカウントというイメージ
マスターアカウント側で、組織ポリシーやサービス管理ポリシーを設定し
メンバーアカウントをOUという組織単位で分けることができる
大きい会社とかになってくるとアカウントを分ける必要が出てくるわけなんだね
SCP(Service Control Policy)
マスターアカウントでは、SCP(Service Control Policy)というポリシーを使って
OU内のメンバに対して権限境界を設定可能
IAMでいうところのPermissions boundaryと同じ役割だね
SCPで許可された範囲内でIAMでは許可が必要
リソースのシェア
メンバーアカウント間でリソースを共有する方法に二つ方法がある
AWS Resource Access Managerの連携とリザーブドインスタンスの共有
AWS Resource Access Managerの連携とは
異なるAWSアカウントとリソースを共有する仕組みで、
組織内外問わずリソースを共有できる
例えば、1つのVPCを共有して、複数アカウントでリソース間の通信を容易にすることができる
リザーブドインスタンスの共有とは
AWS Organizationsの機能でアカウントでリザーブドインスタンスの共有をオンにすると
購入したインスタンスをメンバ間で共有することができる
画面を確認する
複数アカウントを作成する作業は3ぃさんの方ではやらないけど
IAMの画面の左ペインから
AWS Organizationsを押下すると
別タブでAWS Organizationsが開かれるので
ここから「組織を作成する」を押下して組織を作成ができる
理解したこと、気付いたこと
IAMは1つのAWSアカウントの中で、ユーザを管理する機能
AWSアカウントが複数存在する時にはAWS Organizationsという機能を使う必要がある
AWS Organizationsを使用することで
複数のAWSアカウントを任意の単位で分けて管理することができる
AWS Organizationsで管理するAWSアカウントと管理されるAWSアカウントが分かれることがわかった
大きな企業ではAWS Organizationsのようの機能を使用して
複数アカウントを管理しているんだろうことがわかった
どのくらい大きな企業が何のために複数アカウントを管理する必要があるのか
という部分はまだ理解できていないので
引き続き学習を進めたい
まとめ
AWS Organizationsという機能があるよ
AWSアカウントが複数あるときに管理するための機能だよ
IAMは1つのアカウントだけを管理する機能なので
管理する範囲に違いがあるよ
大きな企業などで複数のアカウントを管理したり
大きな枠組みでポリシーを制限したい時にはこの機能を使うよ
今回でIAMの単元は終わり
次回はVPCについて学んでいくよ
んでわ
コメント