AWSアカウントを一元管理する「AWS Organizations」「AWS Control Tower」の違いとは：複数のAWSアカウントを管理するための必須知識【前編】

複数のAWSアカウントを管理するのは、複雑な作業になる。AWSアカウント管理を最適化するためのサービス「AWS Organizations」「AWS Control Tower」の機能と、両サービスの違いを説明する。

[Joe Emison，TechTarget]

　クラウドサービス群「Amazon Web Services」（AWS）のユーザー企業は、AWSの複数アカウントを使い分けることで、セキュリティ対策を確実にでき、利用料金の請求をシンプルにしながらコストを削減できる。ソフトウェア開発や「Infrastructure as Code」（IaC：コードによるインフラの管理）の実践にも役立つ。

併せて読みたいお薦め記事

AWSアカウントの管理

• AWSアカウントの一元管理に役立つ「AWS RAM」と「AWS Organizations」とは
• 「AWS SSO」「AWS Control Tower」の機能とは？　AWSのクラウドIAM

クラウドサービスのセキュリティ対策

• クラウドサービスの「管理者アカウント」乗っ取りはなぜ危険か
• Amazon、Google、IBM　各ベンダーの「クラウドベースIAM」を比較する
• クラウドセキュリティの“最大の敵”が「人」である理由

　AWSを利用する複数の企業が合併したり、自社の複数部門が別々にAWSを契約したりすると、企業はやむを得ずAWSのアカウントを複数管理しなければならなくなる場合がある。適切なツールやプロセスを用意しないで複数のAWSアカウントを使用すると、複雑さが増しかねない。本稿はAWSアカウントの管理に役立つツールと、ベストプラクティスを説明する。

マルチアカウント管理に使える「AWS Organizations」と「AWS Control Tower」の比較

　複数のAWSアカウントを1つのメインアカウントで管理し、メインアカウントに全ての請求を一元化する方法が幾つかある。こうした用途のために、AWSは「AWS Organizations」と「AWS Control Tower」という2つのサービスを用意している。AWS OrganizationsとAWS Control Towerのマルチアカウント管理機能を理解し、どちらが自社に最適かを判断する必要がある。

AWS Organizations

　AWS Organizationsは全てのサブアカウントの利用状況を表示する機能を備え、新しいアカウントの作成も可能だ。ただしアカウントを削除する機能は備えていない。AWS Control Towerと比較して機能が豊富とは言えないが、シンプルで使いやすい。

　複数アカウントにアクセスするために、AWS OrganizationsとAWSのアクセス管理サービス「AWS Single Sign-On」（AWS SSO）を併用できる。これにより複数のアカウントを管理するときに、アカウントごとに異なる資格情報に切り替える必要はなくなる。

　アカウントの作成や設定時に統制の取れていない多様なメールアドレスを使用すると、コストの抑制やサブアカウントの管理が難しくなる。メインアカウントのメールアドレスと、一元管理する各サブアカウントのメールアドレスを同じにすると、AWS Organizationsでの管理がしやすくなる。

　メールアドレス内のプラス記号に続く文字を全て無視する「Gmail」などのメールサービスを使用すれば、全てのアカウントに同じプライマリメールアドレスを使用できる。例えばメインアカウントのメールアドレスとして「aws@example.com」を利用し、サブアカウントに「aws+staging@example.com」を利用する。こうすればアカウントへのアクセスや、アカウントの削除が容易になる。

　AWS Organizationsは、次のいずれかの場合に適している。

• 既に企業内に多数のアカウントがある
• アカウントを50個以上作成する可能性はない
• AWSアカウント所有者を信頼しており、あまり多くの規制や監視を実施したくない

AWS Control Tower

　AWS Control Towerは「AWS Landing Zone」というインフラのテンプレートを使用して、新しいAWSアカウントの作成や管理を支援する。管理者はAWS Landing Zoneを使用して、サブアカウントのより詳細な監視やポリシーの適用、概要情報の利用が可能になる。

　アカウントの初期設定後の設定変更がしづらいことが、AWS Control Towerの欠点だ。AWS Control Towerは、最初に設定したアカウントへのアクセス方法やサインオン方法を変えないことを想定している。このアプローチはAWS SSOの仕組みに合わない。大抵の企業はアクセス許可に対する考え方を状況に合わせて微調整するが、そうした企業の戦略にも適さない。AWS Control Towerは利用したいがAWS SSOは使いたくないという場合は、代わりにMicrosoftのID・アクセス管理サービス「Active Directory Federation Services」（ADFS）を選ぶことができる。

　AWS Control Towerは、次の場合に適している。

• 全てのサブアカウントに細かい制約を課す予定がある
• 一つ一つのサブアカウントごとに異なるポリシー設定を適用する必要がない
• Control Towerのアクセス方法やサインオン方法に対する考え方に従うことに前向きだ

---

　後編は、複数のAWSアカウントを運用するときのコスト管理のポイントを説明する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。