AWS Organizations へ 既存の AWS アカウントを追加する
新規に AWS アカウントを作成すると、通常はスタンドアロンアカウントになります。 スタンドアロンアカウントはアカウント毎に「請求情報を管理する」「ユーザ権限を管理する」必要があります。 組織や企業で AWS を利用し、アカウント数が増えてくるとスタンドアロンアカウントでは集中管理出来ず、管理コストが大きくなります。
AWS Organizations を使うと「ひとつの管理アカウント」と「複数のメンバーアカウント」に分けて集中的に AWS アカウントを管理することが出来ます。 請求は全て「管理アカウント」に対して行われます。
また、スタンドアロンアカウントは新規作成時に「認証」「請求情報の入力」が必須になり、手間と時間がかかります。 対して AWS Organizations にメンバーアカウントを追加する際は請求情報などの入力は不要である為、非常に簡単です。 メンバーアカウントは「新規追加 (作成) する」ことも出来ますが、「既存のスタンドアロンアカウントを追加する」ことも可能です。 今回は「AWS Organizations へ既存のスタンドアロンアカウントを追加する」手順をメモしておきます。
作業の大まかな流れ¶
作業の大まかな流れは以下の通りです。
- 既存アカウントの招待
- 招待の承認
- IAM ロールの作成
- 管理アカウントからメンバーアカウントへスイッチロールする
既存アカウントの招待¶
Step.1¶
管理アカウントへログインし、AWS Organizations へアクセスしたら AWS アカウントを追加 をクリックします。
Step.2¶
AWS アカウントを追加 画面が表示されます。
既存の AWS アカウントを招待 を選択し、下記の赤枠部分に「追加したい、既存のスタンドアロンアカウントの AWS アカウント ID」を入力したら 招待を送信 をクリックします。
Step.3¶
これで既存のスタンドアロンアカウントの root ユーザに設定された電子メールアドレス宛に招待メールが送信されました。
Step.4¶
この状態で画面左側のナビゲーションメニューから AWS アカウント → 招待 をクリックすると以下のように「招待のステータスが OPEN」であることが分かります。
招待の承認¶
Step.5¶
既存のスタンドアロンアカウントに Your AWS account has been invited to join an AWS organization という件名で以下のメールが届きました。 メールの末尾に Accept Invitation というボタンがあるのでクリックします。 この時、メンバーアカウント側へ遷移しますので、必要に応じてログイン情報を入力します。
FOOBAR (owned by foobar@example.com) would like to add your AWS account (123456789012) to their AWS Organization as a member account, using AWS Organizations.
If you accept the invitation, all activity in your AWS account will be billed to the AWS account of FOOBAR, and FOOBAR will be able to view your account’s usage and charges. In addition, this enables your organization’s administrator to centrally apply governance features or to enable services. For example, they can apply service control policies, enable other AWS services, or turn-on security features to monitor accounts in the organization. Finally, accepting this invitation will also create the service-linked role named ‘AWSServiceRoleForOrganizations’ in your account. This is only used to manage services across accounts in the organization.
To learn more about AWS Organizations, see this overview page. To view the invitation, click the linked button below.
Step.6¶
既存のスタンドアロンアカウント側で 招待 画面が表示されたら 招待を承認する をクリックします。
Step.7¶
「招待を承認した」旨のメッセージが表示されます。
Step.8¶
管理アカウント側で AWS Organizations の AWS アカウント を表示すると、承認した既存のアカウントがメンバーとして追加されていることが分かります。
IAM ロールの作成¶
Step.9¶
管理アカウントから追加したメンバーアカウントへスイッチロールするには、予めメンバーアカウント側で「スイッチ先になる IAM ロール」を作成しておく必要があります。 メンバーアカウントの IAM で ロールを作成 をクリックします。
Step.10¶
信頼されたエンティティタイプ は AWS アカウント を、AWS アカウント は このアカウント を選択し、次へ をクリックします。
Step.11¶
スイッチロール後に許可する権限を選択します。 今回は AdministratorAccess を選択しました。 次へ をクリックします。
Step.12¶
ロール名は OrganizationAccountAccessRole を入力します。 このロール名は後の手順で「管理アカウントからメンバーアカウントへスイッチロール」する際、必要になります。 信頼ポリシーには (メンバーアカウントの ID では無く)「管理アカウントの ID」を入力します。 ロールを作成 をクリックします。
Step.13¶
これでロールが作成されました。
管理アカウントからメンバーアカウントへスイッチロールする¶
Step.14¶
管理アカウントからメンバーアカウントへスイッチロールするには前提として「管理アカウントへ (root ユーザでは無く) IAM ユーザでログインしている」必要があります。 管理アカウントへ IAM ユーザでログインしたら ロールの切り替え をクリックします。
Step.15¶
Account ID には切り替え先となるメンバーアカウントの ID を、IAM role name には先の手順で作成したロール名 (今回であれば OrganizationAccountAccessRole) を入力し、Switch Role をクリックします。 これでメンバーアカウントへ切り替わります。
