AWS認定資格 WEB問題集&徹底解説

ソリューションアーキテクト-プロフェッショナル

AWS Organizations の概要と試験出題ポイントは?

AWSサービスの一つであるAWS Organizationsはどんな内容なのでしょうか?また、AWS認定資格のソリューションアーキテクト-プロフェッショナル(SAP)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS Organizations 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS Organizationsは、複数のAWSアカウントを一元的に管理・ガバナンスするためのサービスです。組織(Organization)を作成し、部門・環境・プロジェクト単位でAWSアカウントをOU(Organizational Unit)に整理できます。

主な機能は、一括請求(Consolidated Billing)によるコスト最適化と、SCP(Service Control Policy)による全アカウントへのガードレール設定です。AWS Control Tower・AWS Config・CloudTrail等との組み合わせでマルチアカウント環境のガバナンスを確立します。

2. 主な特徴と機能

2.1 組織構造(OU階層)

組織はルートの下にOU(Organizational Unit)を階層的に配置し、各OUにAWSアカウントを所属させます。典型的な構成は Root→本番OU/開発OU/セキュリティOUのように環境・機能別に分けます。

2.2 SCP(Service Control Policy)

SCPは組織・OU・アカウントレベルでIAM操作の上限(ガードレール)を定義するポリシーです。

  • SCPはIAMポリシーとは別で、最大権限を制限するフィルターとして機能。管理アカウント自体にはSCPは適用されない。
  • 例: 特定リージョンのみ許可・S3のパブリックアクセスブロック設定の削除を禁止・特定サービスの使用を禁止。
  • SCPとIAMポリシーの両方で許可されていないと、アクションは実行できない(AND条件)。

2.3 一括請求(Consolidated Billing)

  • 全アカウントの請求を管理アカウント(マスターアカウント)に統合。
  • 複数アカウントのEC2・S3等の使用量を合算してボリュームディスカウントを受けやすい。
  • Reserved Instance(RI)とSavings Plansを組織内で共有(RI/SPの利用率最適化)。

2.4 AWSアカウントの一元管理

  • 新しいAWSアカウントをOrganizationsから直接作成(メール確認不要)。
  • 既存アカウントを招待して組織に参加させることも可能。
  • CloudTrail・Config・SecurityHubの組織全体への一括有効化。

2.5 その他のポリシータイプ

  • Tag Policy: 組織全体のタグ付けルールを標準化。
  • Backup Policy: AWS Backupのバックアップ計画を組織全体に適用。
  • AI services opt-out policy: AIサービスへのデータ提供のオプトアウトを一元管理。

3. アーキテクチャおよび技術要素

  1. 管理アカウント: Organization全体を管理するルートアカウント。SCPの定義・アカウント作成・OU管理を行う。
  2. 委任管理者: SecurityHub・Config・GuardDuty等のサービスを特定のメンバーアカウントに委任管理させることが可能(推奨パターン)。
  3. SCP適用の継承: SCPはOU階層を上から下へ継承。親OUのSCPは子OUとアカウントに適用される。

4. セキュリティと認証・認可

  • SCP: 組織・OU・アカウントレベルで最大権限を設定。権限の昇格を防ぐガードレール。
  • 管理アカウントの保護: 管理アカウントのルートユーザーには強固なMFA設定が必須。日常業務では管理アカウントを使わない。
  • CloudTrail組織証跡: 全メンバーアカウントのAPIコールを管理アカウントの指定S3バケットに集約。
  • IAM Identity Center(旧SSO)との統合: 組織全体の統一的なシングルサインオン・権限付与を実現。

5. 料金形態

AWS Organizationsサービス自体は無料です。一括請求・SCP・アカウント管理等の機能に追加料金はかかりません。各AWSサービスの使用料金は通常通り発生します。

6. よくあるアーキテクチャ・設計パターン

  • マルチアカウント戦略: 本番・ステージング・開発・セキュリティ・ログ・請求の各OUにアカウントを分離。アカウント間の影響を最小化。
  • SCPによるガードレール: 「本番OUのEC2インスタンスの削除にはAWS Support Enterpriseが必要」「特定リージョン以外の使用を禁止」などのSCPで予防的ガードレールを実装。
  • 一括RI/SP活用: 本番アカウントのRIをOrganizations内の他アカウントにも適用してコスト最適化。

7. 設定・デプロイ手順(ハンズオン例)

  1. AWS Organizationsコンソールで「組織の作成」を選択(すべての機能を有効化)。
  2. OUを作成(例: Root→Production/Staging/Development/Security)。
  3. 新規アカウントを作成またはメールで既存アカウントを招待。
  4. SCPを作成してOUまたはアカウントにアタッチ(例: 特定リージョン制限)。
  5. CloudTrail組織証跡を有効化し、全アカウントのAPIコールを中央S3バケットに集約。

8. 試験で問われやすいポイント

8.1 SCPの特性

  • Q: SCPとIAMポリシーの違いは?
    A: SCPは最大権限の上限を設定するフィルター。IAMポリシーがAllowしていてもSCPがDenyなら実行不可。逆にSCPがAllowでもIAMポリシーがなければ実行不可(AND条件)。
  • Q: SCPは管理アカウントに適用されるか?
    A: 適用されない。管理アカウントはSCPの影響を受けず、すべての操作が可能。

8.2 一括請求

  • Q: Organizationsの一括請求のメリットは?
    A: 複数アカウントの使用量を合算してボリュームディスカウント適用。Reserved Instances / Savings Plansを組織全体で共有できる。

8.3 組織全体の一括有効化

  • Q: AWS CloudTrailを全メンバーアカウントに一括適用するには?
    A: Organizations統合を使って「組織証跡」を作成。管理アカウントから全メンバーアカウントのCloudTrailログを管理。

8.4 アカウント管理

  • Q: Organizationsからアカウントを脱退させる場合の注意点は?
    A: 脱退したアカウントは単独アカウントになる。必要なIAMロール・RIの共有設定などが失われる可能性あり。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報