こんにちは。仕事でAWSの構築し、プライベートでAWSの研究と技術書の執筆をし、Amazonで本を売っているAmazon依存症の佐々木(@dkfj)です。
8月25日に開催されたJAWS-UG朝会#12で、CloudFormation StackSets × AWS Organizationsの話をしてきました。JAWS-UG朝会は、朝の7:30から勉強会をしようという会で、夜の勉強会に参加できない人や、テレワーク開始前の時間を有効活用したい人に好評を博しています。そして、ラジオ体操から始まる健康的な支部です。
発表内容
発表した内容は、タイトルの通りにCloudFormation StackSets × AWS Organizationsです。CloudFormation StackSetsは、他のAWSアカウントやリージョンに対してCloudFormationのスタックを設定できる素晴らしい機能です。そして、Organizationsと連携することによりAWSアカウントをOrganizationsで作ったタイミングや、特定の組織単位(OU)に参加したタイミングで、自動的にCloudFormationを発動させることができる神機能です。つまりこれを使うと、AWSアカウント作成時の初期設定をCloudFormationで自動的に実行できるようになります。凄いですよ
CloudFormation StackSets × AWS Organizations
今、AWSのアカウントを作ったらどういうことをしているかというのをまとめているのが、次の図です。
CloudTrailやConfigの設定は元より、GuardDutyやSecurityHubとの連携、CloudWatchやSNSでアラート通知などを行います。また、それを監査用アカウントに集約するように、SecurityHubの設定や監査ログとしての保管などもすることがあります。これらは、原則として利用しているアカウントの一つ一つに設定していく必要があります。新規の設定や設定変更などもあるので、これを手でやっていくのは正直大変です。
AWS Organizationsを使って、組織単位(OU)にCloudFormation StackSetsを設定しておくと、一度作っておくとこの辺りを自動でやってくれます。使わない手は、ないですよね。
請求/支払い代行とAWS Organizations
発表のところで少し触れましたが、AWSの請求/支払い代行を利用しているとAWS Organizationsの機能が使えない事が多々あります。支払い代行業者が使う一括請求の機能が、Organizationsと統合されてしまっているために、機能として分割して出しにくいのに起因しているのかと思います。今ではAWS SSOなどOrganizationsを前提とするサービスが多々あるので、この辺りAWS側にも仕組みの改善をして欲しいところですね。
AWS Organizationsに対応している請求/支払い代行サービスを提供している会社もありますので、まずは問い合わせしてみるのもいいかもしれませんね。(ステマ)
