AWS Organizations えーだぶりゅーえす おーがないぜーしょんず
マルチアカウント管理SCPサービスコントロールポリシー組織単位OU一括請求IAMガバナンス
AWS Organizationsについて教えて
簡単に言うとこんな感じ!
会社のAWSアカウントをまとめて管理できる「親アカウント」の仕組みだよ。部署ごとにアカウントを分けつつ、上から「このサービスは使っちゃダメ」とか「請求はまとめて払う」みたいなルールを一括で適用できるんだ!
AWS Organizationsとは
AWS Organizationsとは、複数のAWSアカウントを一元管理するためのサービスです。企業がクラウドを本格活用するようになると、開発・本番・部署別など複数のAWSアカウントを持つのが当たり前になりますが、それぞれをバラバラに管理するのは非常に手間がかかります。AWS Organizationsはその悩みを解消するために設計されています。
大きな特徴は3つです。①アカウントのグループ化と階層管理、②サービス利用制限のポリシー適用、③請求の一元化(一括請求)。これにより、ITガバナンスをきかせながら各部門に自由な開発環境を与えるという「管理と自由の両立」が実現できます。
システム発注・選定の現場では、「AWSを使う部門が増えてきたので、セキュリティルールを統一したい」「コストをまとめて把握したい」というタイミングで導入が検討されることが多いサービスです。
AWS Organizationsの構造と仕組み
AWS Organizationsは、会社の組織図のようなツリー構造でアカウントを管理します。
| 用語 | 意味 | 例え |
|---|---|---|
| 管理アカウント(旧:マスターアカウント) | 組織全体を統括する親アカウント | 本社 |
| メンバーアカウント | 管理下に置かれる子アカウント | 各部署・拠点 |
| OU(組織単位 / Organizational Unit) | アカウントをグループ化するフォルダ | 部門・プロジェクト単位 |
| SCP(サービスコントロールポリシー) | OUやアカウントに適用するルール(許可・拒否) | 就業規則・権限規程 |
| ルートOU | ツリーの最上位。全アカウントが配下に入る | 経営トップ |
覚え方:「会社の組織図=AWS Organizations」
- 管理アカウント → 本社(全体ルールを決める)
- OU → 部署(人事部・営業部・開発部 …)
- メンバーアカウント → 社員(各自のAWS環境)
- SCP → 就業規則(「このサービスは使用禁止」を上から適用)
SCPは「最大権限の枠を決める」イメージで、メンバーアカウント内のIAMポリシーがどれだけ許可していても、SCPで禁止されていれば使えません。
OUとSCPの適用例
[ルートOU] ─── SCP: 全社共通ルール(例:特定リージョン以外禁止)
├── [OU: 本番環境] ─── SCP: 削除操作の禁止
│ ├── アカウントA(サービスA本番)
│ └── アカウントB(サービスB本番)
├── [OU: 開発環境] ─── SCP: 高コストインスタンス禁止
│ └── アカウントC(開発・検証)
└── [OU: セキュリティ]
└── アカウントD(ログ集約・監査用)歴史と背景
- 2016年以前:AWSアカウントは1社1アカウントで運用するケースが多かった。しかしセキュリティ分離やコスト管理の観点から複数アカウント化が推奨されるようになる
- 2016年11月:AWS Organizationsが正式リリース。複数アカウントの一括請求(Consolidated Billing)と管理機能を統合
- 2017年:SCP(サービスコントロールポリシー)が追加。単なる請求まとめツールから、ガバナンスツールへと進化
- 2019年以降:「マルチアカウント戦略」がAWSのベストプラクティスとして公式に推奨される。AWS Control Tower(自動セットアップツール)と組み合わせた利用が普及
- 2020年:「マスターアカウント」の名称が管理アカウントに変更(中立的な表現へ)
- 現在:大企業・官公庁のAWS活用において、Organizations導入はほぼ標準構成となっている
関連サービス・機能との比較
AWS Organizationsを中心に、周辺サービスとの関係を整理します。
IAMポリシーとSCPの違い
| 比較項目 | IAMポリシー | SCP(サービスコントロールポリシー) |
|---|---|---|
| 適用範囲 | アカウント内のユーザー・ロール | OUまたはアカウント全体 |
| 管理者 | 各アカウントの管理者 | 管理アカウント(親) |
| 用途 | 「誰が何をできるか」を定義 | 「そもそも使えるサービスの上限」を定義 |
| 優先関係 | SCPの範囲内でのみ有効 | IAMより優先(SCPが禁止すると上書き不可) |
実務上のポイント: SCPは「フェンス(柵)」、IAMは「フェンス内での動き方のルール」です。柵の外には、IAMがどう許可していても出られません。
関連する規格・RFC
| 規格・ドキュメント | 内容 |
|---|---|
| AWS Well-Architected Framework(セキュリティの柱) | マルチアカウント戦略をベストプラクティスとして明記 |
| CIS AWS Foundations Benchmark | Organizations を前提としたセキュリティ設定基準 |
| ISO/IEC 27001 | クラウド環境のガバナンス管理策として参照されることがある |
関連用語
- IAM(Identity and Access Management) — AWSリソースへのアクセス権限を管理する仕組み
- AWS Control Tower — Organizations を自動でセットアップし、ガードレール(安全柵)を適用するサービス
- SCP(サービスコントロールポリシー) — Organizations 内のアカウントに適用する利用制限ポリシー
- AWS Cost Explorer — AWSの利用コストを可視化・分析するツール
- マルチアカウント戦略 — 複数のAWSアカウントを目的別に分けて管理する設計思想
- AWS CloudTrail — AWSの操作ログを記録・監査するサービス