AWS Organizations
www.slideshare.net
概要
- 機能セットとして2つあり、1つを選択する
- マスターアカウントが作成するのは子にあたるルートアカウントのみ
- ルートアカウントの下に関連付くのはそのアカウント内のIAMユーザー
- Organizationsで作ったアカウントを削除する場合支払方法の入力が必要
- ADユーザーにマネジメントコンソールへのSSOを実現できる
- CloudFormationのスタックセットを組織単位でデプロイできる
サービスコントロールポリシー
- 組織ルート、組織単位(OU)、アカウントに対して適用できる
- Whitelist、Blacklist両方の方式に対応
- IAMと同じ構文ルールで設定
- 指定できるのはEffectとActionだけ
- Resourceは「*」で固定
- Principalは利用不可
AWS管理ユーザーの管理
- なるべく1つに集約するのが望ましい
- 集約する方法として、Switch RoleとSSOがある
疑問
- 組織ルートとは