ハンズオン(簡易版): Organizations基礎(アカウント招待)

作成者:

波田野 裕一

公開日:

2022-01-06

更新日:

2023-11-30

目的

Organizationsに既存のAWSアカウントを招待します。

前提

作業権限条件

注釈

本ハンズオンは、2つのAWSアカウント(親用アカウント、子用アカウント)が必要です。

作業権限条件:

• 親アカウントのroot権限

• 子アカウント(招待アカウント)のroot権限

作業環境条件

本作業は、以下の環境で行います。

環境条件1: CloudShell

本作業は、AWS CloudShellでの実施を前提としています。

環境条件2: AWS CLIのバージョン

本作業は、AWS CLIのバージョン"2.7.12"以降での実施を前提としています。

コマンド:

aws --version

結果(例):

aws-cli/2.7.12 Python/3.7.10 Linux/4.14.291-218.527.amzn2.x86_64 exec-env/CloudShell exe/x86_64.amzn.2 prompt/off

構成

本手順書で構築するAWSリソースの構成は以下の図のようになります。

課題

構成情報

手順

注釈

CLIハンズオンの実施方法や効果的に行うためのポイントについては、CLIハンズオンガイドをご参照ください。

注釈

CloudShell環境で作業を実施します。

(リージョンはus-east-1で検証していますが、他のリージョンでも実施可能なはずです。)

事前作業 (ルートもしくはAdministratorAccess権限)

IAMグループの作成

• 事前作業1.1. IAMグループの作成 (CloudShell: handson-cli-organizations-group)

IAMポリシーの作成・アタッチ (MFA強制)

• 事前作業1.2.1. IAMポリシードキュメントの作成 (handson-IAMUserSelfManageSecurity-policy)
• 事前作業1.2.2. IAMポリシーの作成 (CloudShell: handson-IAMUserSelfManageSecurity-policy)
• 事前作業1.2.3. IAMグループへのIAMポリシーのアタッチ (CloudShell: handson-cli-organizations-group: handson-IAMUserSelfManageSecurity-policy)

IAMポリシーの作成・アタッチ (Organizations)

• 事前作業1.3.1. ポリシードキュメントの作成 (CloudShell: OrganizationsAdmin-policy)
• 事前作業1.3.2. IAMポリシーの作成 (CloudShell: OrganizationsAdmin-policy)
• 事前作業1.3.3. IAMグループへのIAMポリシーのアタッチ (CloudShell: handson-cli-organizations-group: OrganizationsAdmin-policy)

IAMユーザーの作成

• 事前作業1.4.1. IAMユーザーの作成 (CloudShell: handson-cli-organizations-user)
• 事前作業1.4.2. IAMログインプロファイルの作成 (CloudShell: handson-cli-organizations-user)
• 事前作業1.4.3. IAMユーザーのIAMグループへのアタッチ (CloudShell: handson-cli-organizations-user: handson-cli-organizations-group)

AWSアカウントID用一時ファイルの作成

• 事前作業2. OrganizationsアカウントID一時ファイルの作成 (子アカウント)

1. 組織の作成

• 1. Organizations組織の作成 (CloudShell)

2. SCPの有効化

• 2. Organizationsポリシーの有効化 (CloudShell: SERVICE_CONTROL_POLICY)

3. ポリシーの作成

• 3.1. Organizationsポリシードキュメントの作成 (CloudShell: DenyAllOutsideRequestedRegions-policy)
• 3.2. Organizationsポリシーの作成 (CloudShell: DenyAllOutsideRequestedRegions-policy)

4. 組織ユニットの作成

• 4. Organizations組織ユニットの作成 (CloudShell: oregon-japan-ou)

5. 組織ユニットへのポリシーアタッチ

• 5. Organizations組織ユニットへのポリシーのアタッチ (CloudShell: oregon-japan-ou: DenyAllOutsideRequestedRegions-policy)

6. アカウントの招待

アカウントの招待 & キャンセル

親アカウント

• 6.1. Organizations組織への招待 (CloudShell)
• 6.2. Organizations組織への招待のキャンセル (CloudShell)

アカウントの招待 & 辞退

親アカウント

• 6.3. Organizations組織への招待 (CloudShell)

招待アカウント (root)

• 6.4 [招待アカウントroot]. マネジメントコンソールへのサインイン (ルートユーザー: MFA利用)
• 6.5 [招待アカウントroot]. Organizations組織への招待の辞退 (CloudShell)

アカウントの招待 & 受諾

親アカウント

• 6.6. Organizations組織への招待 (CloudShell)

招待アカウント (root)

• 6.7 [招待アカウントroot]. Organizations組織への招待の受諾 (CloudShell)
• 6.8 [招待アカウントroot]. OrganizationsアカウントID一時ファイルの作成 (CloudShell: 親アカウント)
• 6.9 [招待アカウントroot]. 信頼ポリシードキュメントの作成 (CloudShell: OrganizationAccountAccessRole)
• 6.10 [招待アカウントroot]. IAMロールの作成 (CloudShell: OrganizationAccountAccessRole)
• 6.11 [招待アカウントroot]. IAMロールのポリシーアタッチ (CloudShell: AdministratorAccess)

アカウントのOU移動

課題

• アカウントのOU移動

7. 動作確認 (親アカウント)

注釈

Webブラウザのプライベートブラウジングを利用することをお奨めします。

IAMユーザーを使用します。

IAMユーザーでのマネジメントコンソールログイン

• 7.1.1. IAMサインインURLの取得 (CloudShell)
• 7.1.2. マネジメントコンソールへのサインイン (IAMユーザー: handson-cli-organizations-user)

MFAの設定と再ログイン

• 7.2.1. 仮想MFAデバイスの作成 (CloudShell: handson-cli-organizations-user-mfa)
• 7.2.2. 仮想MFAデバイスの有効化 (CloudShell: handson-cli-organizations-user)
• 7.2.3. マネジメントコンソールからのサインアウト (IAMユーザー)
• 7.2.4. マネジメントコンソールへのサインイン (IAMユーザー(MFA利用): handson-cli-organizations-user)

親アカウントから子アカウントへのスイッチロール

• 7.3. マネジメントコンソールの操作 (スイッチロール)

子アカウントのアクセス確認

• 検索ボックスでEC2を検索します。

  • "EC2"をクリックします。

  • バージニア北部が表示されます。(ブラウザがプライベートモードの場合)

    • EC2 (正常)

• リージョン(スイッチ)をクリックします。

  • 東京リージョンをクリックします。

    • EC2 (正常)

• リージョン(スイッチ)をクリックします。

  • 米国東部(オハイオ)をクリックします。

    • EC2 (エラー)

親アカウントへ切り戻し

• 7.5. マネジメントコンソールの操作 (ロールのスイッチバック)

アンケート

今後の参考にするため、本手順についてご意見・コメントをお願いします。

注釈

• 必須項目はありません。お気軽にご回答ください。

• 内容が違えばお一人何回回答していただいても問題ありません。

• はまりどころや誤字・脱字などの修正のご指摘もお待ちしています。

• どんな職種ですか? 選んでください。 運用エンジニア 構築エンジニア 開発エンジニア アーキテクト トレーナー マネージャー 学生
• はまり所はありましたか?
• この手順に関する感想やコメント
• 興味があるAWSサービス

注釈

このアンケートシステムはS3 + Cognitoで構築しています。

後始末

クリーンアップ1. アカウントの組織からの離脱 (招待アカウント root)

追加アカウントの離脱

• クリーンアップ1.1 [招待アカウントroot]. Organizations組織からの離脱 (CloudShell)
• クリーンアップ1.2 [招待アカウントroot]. IAMロールのポリシーデタッチ (CloudShell: OrganizationAccountAccessRole)
• クリーンアップ1.3 [招待アカウントroot]. IAMロールの削除 (CloudShell: OrganizationAccountAccessRole)

クリーンアップ2. 組織ユニットからのポリシーデタッチ

• クリーンアップ2. Organizations組織ユニットからのポリシーのデタッチ (CloudShell: oregon-japan-ou: DenyAllOutsideRequestedRegions-policy)

クリーンアップ3. 組織ユニットの削除

• クリーンアップ3. Organizations組織ユニットの削除 (CloudShell: oregon-japan-ou)

クリーンアップ4. ポリシーの削除

• クリーンアップ4. Organizationsポリシーの削除 (CloudShell: DenyAllOutsideRequestedRegions-policy)

クリーンアップ5. SCPの無効化

• クリーンアップ5. Organizationsポリシーの無効化 (CloudShell: SERVICE_CONTROL_POLICY)

クリーンアップ6. 組織の削除

• クリーンアップ6. Organizations組織の削除 (CloudShell)

事後作業

課題

• IAMユーザーからログアウト

• rootでログイン

IAMユーザーの削除

• 事後作業1.1. IAMユーザーのIAMグループからのデタッチ (CloudShell: handson-cli-organizations-user: handson-cli-organizations-group)
• 事後作業1.2. IAMログインプロファイルの削除 (CloudShell: handson-cli-organizations-user)
• 事後作業1.3. 仮想MFAデバイスの無効化 (CloudShell: handson-cli-organizations-user)
• 事後作業1.4. 仮想MFAデバイスの削除 (CloudShell: handson-cli-organizations-user-mfa)
• 事後作業1.5. IAMユーザーの削除 (CloudShell: handson-cli-organizations-user)

IAMポリシーのデタッチ・削除 (Organizations)

• 事後作業2.1. IAMグループからIAMポリシーのデタッチ (CloudShell: handson-cli-organizations-group: OrganizationsAdmin-policy)
• 事後作業2.2. IAMポリシーの削除 (CloudShell: OrganizationsAdmin-policy)

IAMポリシーのデタッチ・削除 (MFA強制)

• 事後作業3.1. IAMグループからIAMポリシーのデタッチ (CloudShell: handson-cli-organizations-group: handson-IAMUserSelfManageSecurity-policy)
• 事後作業3.2. IAMポリシーの削除 (CloudShell: handson-IAMUserSelfManageSecurity-policy)

IAMグループの削除

• 事後作業4. IAMグループの削除 (CloudShell: handson-cli-organizations-group)

ハンズオン環境の片付け (親アカウント: CloudShell)

• 事後作業5. ハンズオン用ディレクトリの削除

備考

(特になし)

参照情報