AWS個人利用者でのAWS Organizations機能の有用性

1. おひとりさまOrganizationsの
ススメ
塚本 牧生

2. 自己紹介
名前：塚本 牧生 （つかもとまきお）
所属：某SIer
好きなAWSサービス：
・AWS CloudFormation（以下CloudFormationと略記）
・AWS Organizations（以下Organizationsと略記）
https://www.credly.com/users/makio.tsukamoto
https://www.linkedin.com/in/mtsukamoto/
https://twitter.com/tsukamoto
http://fb.com/makio.tsukamoto

3. 本日の内容について
・おひとりさまでも「やっぱりマルチアカウント」と思ってもらいたい。
・おひとりさまでも「やっぱりOrganizations」と思ってもらいたい。
・個人でマルチアカウントをOrganizationsで管理する話をします。
・資料は公開します。
注意：
本内容は発表者個人の見解であり、所属組織を代表するものではありません。

4. 個人にとってのOrganizationsで実現できること
・管理アカウントでOrganizations内のAWSアカウントを一覧できる
・請求・支払いが一つのAWSアカウント（管理アカウント）にまとめられる
・新規AWSアカウントの作成が簡単になる
20180214 AWS Black Belt Online Seminar AWS Organizations
https://www.slideshare.net/AmazonWebServicesJapan/20180214-aws-blackbeltorganizations

5. 作成
ミニマルなOrganizations用語と概念
通常の
AWSアカウント
招待
メンバー
アカウント
作成
作成
請求 支払
管理
アカウント
「AWS Organizations 用語と概念 - AWS Organizations」より作成
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_getting-started_concepts.html

6. 突然ですがよくハンズオンって失敗しますよね？
・クオータに引っかかる（例えばVPCの6つ目が作れない）
・権限が不足する（例えばPowerUserAccessではIAMロールが作れない）
・月末に予期せぬ高額請求を受け取る（例えばNATを消し忘れた）
・ぜんぶ間借りしてるせいだ。
ハンズオンは新しいAWSアカウントで
AdministratorAccess権限のIAMユーザーを作って実施しませんか

7. ハンズオンのための一時的な新規アカウントなら…
ハンズオンが失敗する理由（再掲）
・クオータに引っかかる（例えば VPCの6つ目が作
れない）
・権限が不足する（例えば PowerUserAccessでは
IAMロールが作れない）
・月末に予期せぬ高額請求を受け取る（例えば
NATを消し忘れた）
・ぜんぶ間借りしてるせいだ。
一時的な新規アカウントだと …
・リソースゼロの状態だから、クォータ不足に泣か
ない
・自由にAdministratorAccess権限のIAMユーザー
を作れるから、権限不足に泣かない
・リソース削除後にAWSアカウントも解約できるか
ら、予期せぬ高額請求に泣かない
※アカウント解約時に登録されていたrootメールアドレスは、以降の新規
アカウント作成に再利用できないので注意
https://aws.amazon.com/jp/premiumsupport/knowledge-center/clos
e-aws-account/

8. アカウント作成をルーチン化
・AWSアカウント名は命名規則を決めておく
・用途＋年月日がおススメ
例えばhandson-20210616 など
・共用Organizationsでは名前も入れるのがおススメ
例えば example-handson-20210616 など
・rootメールアドレスは調達方法と命名規則を決めておく
・Gmailのエイリアスがおススメ、転送設定でグループアドレス的利用も可能
https://support.google.com/mail/answer/22370#alias
・エイリアス部分とアカウント名を合わせるのがおススメ
例えば example+handson-20210616@gmail.com など
・rootパスワードはランダム文字列の自動生成など決めておく
・とにかく作成時に考えるな、決めておけ

9. アカウント作成ルーチンをOrganizationsで加速
・Organizationsでのアカウント作成
・アカウント名とrootメールアドレスで作成
・rootメールアドレスでパスワードリセット
・電話番号登録がない
・SMSによる確認ステップがない
・支払い方法を考えなくていい
・キャッシュカード番号とか確認しなくていい
・契約稟議とか支払い稟議とか回さなくていい
・「一人でできる化」がルーチンを加速

10. おひとりさまOrganizationsワークフロー
・管理者IAMユーザーでサインイン
・Organizations有効化
管理AWSアカウント
・管理者IAMユーザーでサインイン
・メンバーアカウント作成
管理AWSアカウント
・rootユーザーでサインイン
・管理者IAMグループ作成
・管理者IAMユーザー作成
メンバーアカウント
・IAMユーザーでサインイン
・ハンズオン実施
・後片付け（リソース削除）
メンバーアカウント
・rootユーザーでサインイン
・メンバーアカウント解約
メンバーアカウント
事前に
一度だけ実施
ハンズオンや検
証毎に実施

11. Organizationsでのアカウント削除
・通常のAWSアカウントとして継続利用時は「組
織からのメンバーアカウントの削除」
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_ma
nage_accounts_remove.html
・支払い手段の登録が必須
・使わないならメンバーアカウントで解約
https://aws.amazon.com/jp/premiumsupport/knowledge-center/close-aws-a
ccount/
・「組織からの…削除」は不要
・90日後（完全削除）に勝手に消える
・退避用のフォルダ（OU）を作っておく
・10日後ぐらいに手動削除も可能
https://qiita.com/tsukamoto/items/6dadbc4de8aea1f46d7a

12. マルチアカウントのススメ、そして…
・ハンズオンや検証作業は完了してこそ知見になる
・つまり、権限やクォータなどスコープ外の問題を事前排除した方が知見になる
・つまり、一時的な作業には一時的なAWSアカウントを用意した方が知見になる
・つまり、AWSエンジニアは作成したAWSアカウントの数だけ強くなる
・つまり、マルチアカウントの習慣でAWSエンジニアは強くなる
・おひとりさまOrganizationsは正義 … いやでも個別アカウントでもよくない？

13. おひとりさまOrganizationsのデメリット
・Organizationsをチョットデキル人にならなければいけない
（このチョットデキルは本当にチョットでいい）
・無料利用枠が組織全体で1アカウント分だけ
https://aws.amazon.com/jp/free/free-tier-faqs/
・無料利用枠が管理アカウント作成から1年で終わり
https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/free-tier-eligibility.html

14. おひとりさまOrganizationsのメリット：コスト面
・組織全体での使用量にボリュームディスカウントが適用される
・試験に出るけど、個人利用だとなかなか恩恵にあずかれない
・組織全体でリザーブドインスタンスやセービングスプランズが共用できる
・試験に出るけど、個人利用だとなかなか恩恵にあずかれない（？）
・組織全体でクレジットが共用できる
・AWSイベントのアンケート回答やbuilders.flashのハンズオン支援が入手機会
・使い捨てアカウントで“余り”が出ても別アカウントで活用できる
・試験に出ないけど、個人利用だととても嬉しい

15. クレジットの共有
・デフォルトで有効
https://aws.amazon.com/jp/premiumsupport/knowledge-center/consoli
dated-billing-credits/
・請求設定で無効化可能

16. 無料利用枠かクレジットか？
・無料利用枠の恩恵は大きい
・750時間＝31.25日＝1カ月強
・無料利用枠の制限は厳しい
・t2.micro非対応のDBエンジンがある
・t2世代非対応のリージョンがある
（大阪リージョンとか）

17. 無料利用枠かクレジットか？
・クレジットはイベント参加などをしないともらえない
・クレジットが使えないサービスがないわけではない
https://aws.amazon.com/jp/awscredits/
・RIやセービングスプランズなどの前払いサービス
・Mechanical Turk、Route53のドメイン登録や移動、Marketplaceなど
・そうはいってもクレジットの適用範囲は広い（現在166サービス）
AWS FIS
利用分だった

18. おひとりさまOrganizationsのメリット：運用面
・管理アカウントに予算設定してあれば安心
・Organizations内全アカウントの総額で監視できる
・予算アラートのチェック習慣が安全運用の第一歩
（使いすぎ、消し忘れ、乗っ取られの予兆信号）
・予算額の設定
・毎月のお小遣い額
・毎月のクレジット入手見込み額
（例えばbuilders.flashのハンズオン支援$25/月）

19. Organizationsか個別アカウントか？
Organizations 個別アカウント
アカウント作成 ・アカウント名
・メールアドレス
※支払い手段不要
・アカウント名
・メールアドレス
・支払い手段
予算 ・総額で管理できる ・アカウント毎の個別の費用額で管理
無料使用枠 ・管理アカウント作成から 12か月
・組織全体で1アカウント分
・アカウント毎に12か月
・アカウント毎に1アカウント分
クレジット ・組織全体で共用できる ・付与したアカウント内でのみ使用できる
（アカウント解約時は 残額放棄）
備考 〇管理が用意
〇クレジットの対象範囲が広い
△クレジット入手活動が必要
〇無料使用枠の効果（上限）額が大きい
△無料枠の対象範囲は限定的
△アカウント開設、管理に少し難

20. おひとりさまOrganizationsのススメ
・ハンズオンや検証、学習には新規アカウント作成を。
権限やクォータなどスコープ外の問題を事前排除した方が知見になる。
・積極的にマルチアカウントで使っていく習慣を。
AWSエンジニアは作成したAWSアカウントの数だけ強くなる。
・マルチアカウントはおひとりさまOrganizationsを。
・(番外)Direct Connect 、Organizations、Control Towerは個人では学びにくい。
→Organizationsは個人でも学びやすい。使いやすい。

21. FAQ
Q: AWS Organizationsの利用料金は？
→追加料金なしで利用できます。
https://aws.amazon.com/jp/organizations/
Q: Organizations内に作成できるアカウントの上限は？
→管理アカウントを含め4つです。このQuotaは申請により拡張可能です。
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html
Q: メンバーアカウントを、Organizations管理下から外し独立させることは？
→できます。「組織からのメンバーアカウントの削除」を行います。
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_accounts_remove.html
Q: Organizationsを削除して、管理アカウントを通常アカウントに戻すことは？
→できます。「管理アカウントの削除による組織の削除」を行います。
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_org_delete.html

22. このあとにしてほしいこと

23. 参考
Organizations全般
・【AWS Black Belt Online Seminar】AWS Organizations
https://www.slideshare.net/AmazonWebServicesJapan/20180214-aws-blackbeltorganizations
・AWS Organizations 用語と概念- AWS Organizations
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_getting-started_concepts.html
アカウントの解約
・AWS アカウントを解約する
https://aws.amazon.com/jp/premiumsupport/knowledge-center/close-aws-account/
・組織からのメンバーアカウントの削除
- AWS Organizations
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_accounts_remove.html
・AWS Organizationsのメンバーアカウント閉鎖には
7～10日必要 - Qiita
https://qiita.com/tsukamoto/items/6dadbc4de8aea1f46d7a
AWSの無料枠
・無料利用枠に関するよくある質問
https://aws.amazon.com/jp/free/free-tier-faqs/
・AWS無料利用枠の適格性
https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/free-tier-eligibility.html
・一括請求(コンソリデーティッドビリング
) ファミリーのクレジットを理解する
https://aws.amazon.com/jp/premiumsupport/knowledge-center/consolidated-billing-credits/
Gmail エイリアスを使用してメールの自動振り分けを行う
- Gmail ヘルプ
https://support.google.com/mail/answer/22370#alias

24. 参考：クレジット対象の166サービス（’21/7/28時点）
AMAZONROUTE53REGIONALCHINA
AWS Amplify
AWS AppSync
AWS Audit Manager
AWS Backup
AWS Budgets
AWS Certificate Manager
AWS Cloud Map
AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS CodeArtifact
AWS CodeCommit
AWS CodeDeploy
AWS CodePipeline
AWS Config
AWS Cost Explorer
AWS Data Exchange
AWS Data Pipeline
AWS Data Transfer
AWS DataSync
AWS Database Migration Service
AWS DeepRacer
AWS Device Farm
AWS Direct Connect
AWS Directory Service
AWS Elemental MediaConnect
AWS Elemental MediaConvert
AWS Elemental MediaLive
AWS Elemental MediaPackage
AWS Elemental MediaStore
AWS Elemental MediaTailor
AWS Firewall Manager
AWS Global Accelerator
AWS Glue
AWS Glue Elastic Views
AWS Greengrass
AWS Ground Station
AWS Import/Export
AWS Import/Export Snowball
AWS IoT
AWS IoT 1 Click
Amazon CloudFront
Amazon CloudSearch
Amazon Cognito
Amazon Cognito Sync
Amazon Comprehend
Amazon Connect
Amazon Connect Customer Profiles
Amazon Detective
Amazon DocumentDB (with MongoDB compatibility)
Amazon DynamoDB
Amazon EC2 Container Registry (ECR)
Amazon ElastiCache
Amazon Elastic Compute Cloud
Amazon Elastic Container Service
Amazon Elastic Container Service for Kubernetes
Amazon Elastic File System
Amazon Elastic Inference
Amazon Elastic MapReduce
Amazon Elastic Transcoder
Amazon Elasticsearch Service
Amazon FSx
Amazon Forecast
Amazon GameLift
Amazon Glacier
Amazon GuardDuty
Amazon Honeycode
Amazon Inspector
Amazon Interactive Video Service
Amazon Kendra
Amazon Keyspaces (for Apache Cassandra)
Amazon Kinesis
Amazon Kinesis Analytics
Amazon Kinesis Firehose
Amazon Kinesis Video Streams
Amazon Lex
Amazon Lightsail
Amazon Lookout for Vision
Amazon MQ
Amazon Machine Learning
Amazon Macie
Amazon Managed Blockchain
Amazon Managed Streaming for Apache Kafka
Amazon Managed Workflows for Apache Airflow
Amazon Mobile Analytics
Amazon Neptune
Amazon Personalize
Amazon Pinpoint
Amazon Polly
Amazon Quantum Ledger Database
Amazon QuickSight
Amazon Redshift
Amazon Rekognition
Amazon Relational Database Service
Amazon Route 53
Amazon S3 Glacier Deep Archive
Amazon SageMaker
Amazon Simple Email Service
Amazon Simple Notification Service
Amazon Simple Queue Service
Amazon Simple Storage Service
Amazon Simple Workflow Service
Amazon SimpleDB
Amazon Sumerian
Amazon Textract
Amazon Timestream
Amazon Transcribe
Amazon Translate
Amazon Virtual Private Cloud
Amazon WorkDocs
Amazon WorkLink
Amazon WorkSpaces
Amazon WorkSpaces Application Manager
AmazonCloudWatch
AmazonWorkMail
CloudWatch Events
CodeBuild
CodeGuru
Comprehend Medical
Contact Center Telecommunications (service sold by AMCS, LLC)
DynamoDB Accelerator (DAX)
Elastic Load Balancing
VMware Cloud on AWS
AWS IoT Analytics
AWS IoT Device Defender
AWS IoT Device Management
AWS IoT Events
AWS IoT SiteWise
AWS IoT Things Graph
AWS Key Management Service
AWS Lambda
AWS Network Firewall
AWS OpsWorks
AWS Outposts
AWS RoboMaker
AWS Secrets Manager
AWS Security Hub
AWS Service Catalog
AWS Shield
AWS Snowball Extra Days
AWS Step Functions
AWS Storage Gateway
AWS Storage Gateway Deep Archive
AWS Support (Business)
AWS Support (Developer)
AWS Systems Manager
AWS Transfer Family
AWS WAF
AWS X-Ray
Alexa Top Sites
Alexa Web Information Service
Alexa for Business
Amazon API Gateway
Amazon AppFlow
Amazon AppStream
Amazon Athena
Amazon Augmented AI
Amazon Braket
Amazon Chime
Amazon Chime Business Calling a service sold by AMCS LLC
Amazon Chime Call Me
Amazon Chime Dialin
Amazon Chime Features
Amazon Chime Voice Connector a service sold by AMCS LLC
Amazon Cloud Directory