2021年4月4日 / 最終更新日 : 2022年12月9日 MikoshibaHiroyuki セキュリティ

AWSセキュリティ前準備:AWS Organizations に参加する

AWS Organizations は、複数のAWSアカウントを統合管理するために、組織 (Organization Unit)を作成してアカウントを収容して管理する仕組みです。
複数のAWSアカウントをまたいで、色々なAWSサービスと統合して、セキュリティ、監査要件を、組織アカウント間でリソース共有できます。
また、複数のAWSアカウントの請求先を1つにまとめることができます。

セキュリティ対策を実施していく前に、組織に基づいた設定を施しておけば、複数のAWSアカウントをまたいだ設定で便利になるはずです。

組織にアカウントを追加するには、既存のアカウントを招待する方法と、新規アカウントをOrganizationsから作成する方法があるようですが、大体の場合、Organizationsから作成するようなので、先人に習います。

この場合、

  1. 手順が少ない
  2. IAM Roleが自動で作成される
  3. 組織に簡単に組み込まれる

という利点があるみたいです。

注意!! 以下手順では、組織生成から行っていますが、その場合、組織を作成したアカウントがマスタアカウントになってしまう。
アカウントの追加から実施して、新規追加したアカウントから組織を作成したほうが良いかも!!

AWSアカウントに AWS Organizations を導入する

ルートアカウントでログインし、「AWS Organizations」へ移動
[ 新しく組織を作成する - 子アカウントを作成 ]

「AWS Organizations」をクリック 「AWS Organizations」をクリック
 
「組織の作成」をクリック
 「組織の作成」をクリック
「組織の作成」をクリック 「組織の作成」をクリック
組織が作成されました 組織が作成されました
ログイン中のルートアカウントのメールアドレスに確認メールが送られてくる

ログイン中のルートアカウントのメールアドレスに確認メールが送られてくる

 「Verify your email address」

をクリックして承認します。
メールアドレスの認証後、先ほどの画面に戻って、「アカウントの追加」をクリック メールアドレスの認証後、先ほどの画面に戻って、
「アカウントの追加」
をクリック
「アカウントの作成」をクリック 「アカウントの作成」
をクリック
Eメールアドレスは、

いままでAWSアカウント

で使われていないもの

を指定
画面下部に入力欄が現れるので、子アカウントの名前とメールアドレスを入力。
IAMロール名はひとまず空欄で、タグを追加した。
「作成」をクリック

  • 入力しない場合にはデフォルトのOrganizationAccountAccessRoleが使われる(無難な設定が済んでしまう)
  • 通常の作成時にはクレジットカードの登録や電話認証などがありますが、それらは既存アカウントの内容がコピーされる
アカウントが追加された アカウントが追加された

組織の作成

①「アカウントの整理 」をクリック ②「Root」をクリック 「アカウントの整理 」
をクリック「Root」をクリック
組織とユーザーの一覧画面で、「+新規組織単位」をクリック 組織とユーザーの一覧画面で、「+新規組織単位」をクリック
「組織単位の作成」をクリック 「組織単位の作成」
をクリック
組織「第1研究室」が作成された 組織「第1研究室」が
作成された
子アカウントを組織に移動 子アカウントを組織に移動
移動する組織(第1研究室)をクリック → 移動 移動する組織
(第1研究室)
をクリック→ 移動
階層が移動した 左の階層になった

子アカウントでログイン ー ルートアカウントとして、ログイン

作成した子アカウントで、ルートアカウントとして ログイン 作成した子アカウント

でルートアカウントとして

ログイン
「パスワードをお忘れですか?」をクリックし、パスワードを設定 パスワードはまだ設定していないので、ここは

「パスワードをお忘れですか?」

をクリックし、パスワードの設定を行います。
子アカウントのメールアドレスに(右の内容)が送られる。

リンクから、Webブラウザで
リセット操作行う
パスワードリセットを使って、パスワードをセット パスワードリセット

を使って、

パスワードをセット
「サインイン」から入ると
既存アカウントにログイン
するので、

AWSマネージメントコンソール
から新規アカウントの
メールアドレスを設定して
ログイン
ログインできました。追加した空のアカウントです。 ログインできました。

追加した空のアカウントです。
請求も元のアカウントに対して行われるので、0円です 請求も元のアカウントに対して
行われるので、0円です
この後、このアカウントで実施する作業を考えて、IAMユーザを追加して、権限を追加して、そのIAMユーザで運用します。

AWSアカウントの招待

先ほど作業した既存AWSアカウント(マスタアカウント)でログインして、AWS Organizations コンソールに移動して、「招待」をクリック
先ほど作業した既存AWSアカウント(マスタアカウント)でログインして、AWS Organizationsコンソールに移動して、「招待」をクリック
「アカウントの招待」をクリック 「アカウントの招待」
をクリック
「アカウントの招待」をクリック 「アカウントの招待」をクリック
上記画面からのクリックには反応がない
既存アカウントのメールアドレス宛てに、Eメールが届いているはずなので、そのメールにある「Verify your email address」をクリックして、再ログインして、「AWS Organizations」をもう一度出すと、
「招待」をクリック 「招待」をクリック
ステータスはまだ「OPEN」
招待したアカウントに招待メールが送信される
招待したアカウントには上のような招待メールが送信されます。
ステータスがOPENになっていますが、移管対象のアカウントが承認されるまではこの状態が継続します。本文中リンク https://console.aws.amazon.com/organizati・・・を押下すると、既存カウントのAWS Organizationsが開いた???
招待したAWSアカウントのAWS Organizations を開くと
「招待」をクリック 「招待」をクリック
「承認」をクリック 「承認」をクリック
「確認」をクリック 「確認」をクリック
承諾して、招待元のAWSアカウントの組織に取り込まれた 承諾して、招待元の
AWSアカウントの組織に
取り込まれた
招待元のAWSアカウントに、招待に対して、承諾した旨、メールが送信される 招待元のAWSアカウントに、
招待に対して、承諾した旨、
メールが送信される
招待元のAWSアカウントのAWS Organizationsでステータスは「ACCEPTED」になった 招待元のAWSアカウントのAWS Organizationsでステータスは「ACCEPTED」になった

ユーザアカウントの状態

ユーザアカウントの状態

組織の階層状態

組織の階層状態
組織の階層状態

組織の階層構造を以下に変更した

組織の階層構造を以下に変更した

AWSセキュリティ TIPSはこちら!

「セキュリティ機能全体像」はこちら!

カテゴリー
セキュリティ仮想システム
タグ
セキュリティ

前の記事

AWSセキュリティ前準備:IAMユーザを登録する
2021年4月3日
セキュリティ

次の記事

AWSセキュリティ前準備:AWS Firewall Manager 管理者アカウントを設定する
2021年4月5日