AWS利用ガイドライン
アカウントについて
情報インフラ本部にてAWS Organizationsを管理しています。
AWS Organizationsに参加させる場合は情報インフラ本部にてAWSアカウントを作成しますのでご依頼ください。
AWS Organizationsへの参加について
参加した場合、以下の違いがあります。
- 請求書の処理を情報インフラ本部にて行うため毎月の支出伺いの提出が不要となります。
(請求金額が多い場合は構成の見直しを依頼する場合があります)
請求書がメール通知されなくなるため料金は各自で確認する必要があります。 - ルートユーザーの管理を情報インフラ本部に任せられます(任意)
その場合、AdministratorAccessを付与したIAMユーザーをご連絡します。 - CloudTrailログが半年分収集されます。
インシデントが発生した場合の追跡のために利用します。 - 社内ポリシーが強制的に適用されます。
(現状ポリシーはありません。最低限のセキュリティ担保のため今後適用される可能性があります。)
商用で利用する場合、会社クレジットカードで引き落とされると都合が悪い場合もあるかと思いますので、
基本的にAWS Organizationsに参加させるAWSアカウントは社内用としています。
AWS Organizations構成
- マスターアカウント
AWS Organizationsを管理しているAWSアカウント。
組織内の全てのアカウントの請求はこのアカウントから一括請求されます。 - ログ収集用アカウント
組織内の全てのアカウントのCloudTrailログを半年分収集しています。 - 監査用アカウント
組織内の全てのアカウントにroot権限でクロスアカウントアクセスできます。 - 各ディビジョン管理用アカウント
各ディビジョンのOUは各ディビジョンにて管理していただく方針となります。
OU内のプロジェクト用アカウントにroot権限でクロスアカウントアクセスできます。 - プロジェクト用アカウント
プロジェクトごとに作成するAWSアカウントです。
プロジェクトごとにリソースを分割し、セキュリティおよび請求をアカウント単位で
分けられるため、基本的にプロジェクトごとに作成することをお勧めします。
(□:OU ○:AWSアカウント)
graph TD;
aws0(("マスターアカウント
aws-morson")); aws1((ログ収集用
logging)); aws2((監査用
audit)); aws3((ITD管理用
admin-sy1)); aws4((PMD管理用
admin-shizuoka)); aws5((BCD管理用
admin-bcd)); aws6((プロジェクト用)); aws7((プロジェクト用)); aws8((プロジェクト用)); OU0[Root]; OU1[ISD]; OU2[ITD]; OU3[CVD]; OU4[EGD]; OU5[PMD]; OU6[BCD]; subgraph AWS Organizations aws2--"Cross
Account
Access"-->aws6; aws2--"Cross
Account
Access"-->aws3; aws0--"ログ保存"-->aws1; aws6--"ログ保存"-->aws1; aws1--"一括請求"-->aws0; aws6--"一括請求"-->aws0; OU0---OU1; OU0---OU2; OU0---OU3; OU0---OU4; OU0---OU5; OU0---OU6; subgraph ISD管理 aws0; OU1; OU1---aws1; OU1---aws2; end subgraph ITD管理 OU2; OU2---aws3; OU2---aws6; aws3--"Cross
Account
Access"-->aws6; end subgraph CVD管理 OU3; end subgraph EGD管理 OU4; end subgraph PMD管理 OU5; OU5---aws4; OU5---aws7; aws4--"Cross
Account
Access"-->aws7; end subgraph BCD管理 OU6; OU6---aws5; OU6---aws8; aws5--"Cross
Account
Access"-->aws8; end end
aws-morson")); aws1((ログ収集用
logging)); aws2((監査用
audit)); aws3((ITD管理用
admin-sy1)); aws4((PMD管理用
admin-shizuoka)); aws5((BCD管理用
admin-bcd)); aws6((プロジェクト用)); aws7((プロジェクト用)); aws8((プロジェクト用)); OU0[Root]; OU1[ISD]; OU2[ITD]; OU3[CVD]; OU4[EGD]; OU5[PMD]; OU6[BCD]; subgraph AWS Organizations aws2--"Cross
Account
Access"-->aws6; aws2--"Cross
Account
Access"-->aws3; aws0--"ログ保存"-->aws1; aws6--"ログ保存"-->aws1; aws1--"一括請求"-->aws0; aws6--"一括請求"-->aws0; OU0---OU1; OU0---OU2; OU0---OU3; OU0---OU4; OU0---OU5; OU0---OU6; subgraph ISD管理 aws0; OU1; OU1---aws1; OU1---aws2; end subgraph ITD管理 OU2; OU2---aws3; OU2---aws6; aws3--"Cross
Account
Access"-->aws6; end subgraph CVD管理 OU3; end subgraph EGD管理 OU4; end subgraph PMD管理 OU5; OU5---aws4; OU5---aws7; aws4--"Cross
Account
Access"-->aws7; end subgraph BCD管理 OU6; OU6---aws5; OU6---aws8; aws5--"Cross
Account
Access"-->aws8; end end