AWS Organizations
この記事でわかること
- AWS Organizationsが「何をまとめる仕組み」か
- 部署ごとのバラバラ運用をどう整えるか(コスト・セキュリティ)
- IAM / Control Towerとの違いと、まずやるべき手順
① ストーリー性を取り入れた説明
旅行会社の新規事業開発部。ケンイチは月末報告会の資料を作りながら、顔が青くなっていました。
各部署が「便利そうだから」と勝手にAWSアカウントを作り、請求も設定もバラバラ。先月のAWS料金が跳ね上がり、課長からは「このままだと予算が削られるぞ」と釘を刺されています。
さらに監査の気配もあり、「どの部署が、何を、どれだけ使っているか」が説明できないのが致命傷になりそうでした。
ケンイチ:
「課長、AWSの請求が一枚で来るのは分かるんですが…
部署ごとに『誰がどれだけ』が見えなくて困っています。
このままだと報告会で詰みそうです…」
課長:
「その状況なら、まずAWS Organizationsを入れて、バラバラを一つに束ねよう」
ケンイチ:
「AWS Organizations…すみません、何をするものですか?
新しいサーバーを立てるサービスですか?」
課長:
「違う。Organizationsは“アカウントをまとめる仕組み”だ。
学校で例えると、クラスが勝手に増えて収拾がつかない状態を、
学年(組織)として整理してルールを統一する感じだな」
ケンイチ:
「つまり、部署ごとのAWSアカウントを“同じ会社の箱”に入れて、
まとめて管理できるようにする…という理解でよいでしょうか?」
課長:
「そう。ここが大事なポイントは3つ。
②ルールをまとめる(危ない設定をさせない)
③アカウントを増やすのを楽にする(作成・整理)」
ケンイチ:
「請求をまとめる…は分かります。でも“部署ごとに見える化”はできますか?」
課長:
「できる。ただし勘違いしがちなんだが、Organizationsだけで
『部署別の明細が自動で完璧に出る』わけじゃない。
部署ごとにアカウントを分ける設計にして、そこにタグやレポートを組み合わせる」
ケンイチ:
「タグ…って、ファイルに付けるラベルみたいなやつですか?」
課長:
「そう。例えば“部署=新規事業”みたいなラベルを付けて、コストの集計で使う。
さらに本気なら、利用明細を出すレポート(Cost and Usage Report)も使う」
ケンイチ:
「なるほど…!じゃあ、勝手に高いサービスを使われる問題はどうしますか?」
課長:
「そこがOrganizationsの強みその2だ。
SCP(サービスコントロールポリシー)で“会社の校則”を作れる。
例えば『この部署は特定リージョン以外禁止』とか、
『危険な操作は管理部だけ』みたいな制限ができる」
ケンイチ:
「校則で縛れるのは安心ですね。
でも、設定を間違えたら業務が止まりませんか?」
課長:
「だから順番が大事。いきなり全禁止にしない。
まず“整理”→“見える化”→“ルール強化”の順だ。
そしてOU(組織単位)で段階的に適用する」
・部署ごとのAWSアカウントを「会社の箱」にまとめる
・請求の一元化+ルール統一(SCP)で事故を減らす
・見える化は「アカウント設計+タグ/レポート」で強くなる
ケンイチ:
「ところで課長、IAMと何が違うんでしょうか?
IAMも権限管理ですよね?」
課長:
「いい質問だ。IAMは“1つのアカウントの中”の権限。
Organizationsは“複数アカウントをまたいだ”統治(ガバナンス)だ。
街で言うなら、IAMが“会社の入館証”、Organizationsが“会社の支社管理”だな」
ケンイチ:
「Control Towerって名前も出てきました。
それはOrganizationsと同じですか?」
課長:
「Control TowerはOrganizationsを土台に、
“良い型(ベストプラクティス)”で最初から整えてくれる司令塔だ。
規模が大きいなら検討価値が高い。今日はまずOrganizationsで整理を始めよう」
ケンイチ:
「よし…!
まずは部署ごとにアカウントを棚卸しして、 Organizationsにまとめる計画を作ります」
課長:
「次アクションはこれだ。今日中に“設計メモ”を作れ。
2) 部署ごとのアカウント構成(OUの案)
3) 最低限のSCP案(まずは緩め)
4) コスト見える化(タグ+レポート)の方針」
よく間違えられやすい用語との違い
| 用語 | 何をまとめる? | 得意なこと | 一言で |
|---|---|---|---|
| AWS Organizations | 複数アカウント | 一括請求・SCP・OU管理 | 会社全体のAWS統治 |
| AWS IAM | 1アカウント内の人/権限 | ユーザー/ロールのアクセス制御 | 入館証と鍵の管理 |
| AWS Control Tower | 複数アカウント | ガバナンスの“型”を自動で整える | 司令塔で最初から整備 |
AWS Organizationsとは、複数のAWSアカウントをまとめて管理し、請求・ルール(ポリシー)・構成を組織として整えるためのサービスです
② 実際の事例
事例1:日本ペイントホールディングス株式会社
日本ペイントホールディングスは、AWS移行・運用の基盤としてAWS Organizationsによるアカウント統合管理を採用し、システム別/ステージ別に約20アカウントへ分離するマルチアカウント構成を取っています。さらに、各アカウントのログを共通アカウントに集約し、モニタリングとセキュリティ管理を高水準で実現したと紹介されています。
「部署・用途ごとにアカウントを分けつつ、請求や統制は一本化する」という、Organizationsの強みが分かりやすい例です。
・日本ペイントホールディングス株式会社の導入事例(AWS公式):https://aws.amazon.com/jp/solutions/case-studies/nippon-paint-holdings/
事例2:株式会社いい生活
不動産テックの「いい生活」は、開発におけるAWS利用の基本方針としてAWS Organizationsによるアカウントの集中管理を掲げ、セキュリティ強化のためにMFA必須、構成のコード化(IaC)を徹底するなど、運用ルールとセットで整備していることが紹介されています。
Organizationsを「アカウントをまとめる箱」として使うだけでなく、社内ルール(MFA必須・勝手に手作業構築しない等)を回す土台にしている点が学びになります。
・株式会社いい生活の導入事例(AWS公式):
https://aws.amazon.com/jp/solutions/case-studies/e-seikatsu/
③ クイズや小テスト
クイズ1
AWS Organizationsの主な目的として正しいのはどれ?
A:複数のAWSアカウントの一元管理
B:個々のEC2インスタンスの最適化
C:特定のS3バケットへのアクセス制御
クイズ2
AWS Organizationsでセキュリティポリシーを適用する範囲として正しいのはどれ
A:Organizations内の特定のアカウントのみ
B:Organizations内のすべてのアカウント
C:個々のIAMユーザー
クイズ3
AWS Organizationsの利用料金を部署ごとに割り当てるために使用する機能はどれ?
A:AWS Cost Explorer
B:コスト配分レポート
C:AWS Budgets
答え:
1-A:複数のAWSアカウントの一元管理(複数のアカウントをまとめて管理)
2-B:Organizations内のすべてのアカウント(組織全体にポリシーを適用)
3-B:コスト配分レポート(部署ごとの料金を割り当てる)
解説:AWS Organizationsは、複数アカウントの管理、セキュリティ強化、コスト管理に役立ちます。これらの機能を活用することで、組織全体のAWS利用を最適化できます。
