AWS Organizations で新たにマルチアカウント AWS 環境をセットアップするために、AWS Control Tower が使用可能に
AWS Organizations のお客様に、新しく作成された組織単位 (OU) とアカウントを管理する際に、AWS Control Tower をご使用いただけるようになりました。これにより、クラウド管理者とアーキテクトは既存の Organizations でも AWS Control Tower のランディングゾーンをセットアップできます。 ランディングゾーンは、優れた設計によるマルチアカウントの AWS 環境で、セキュリティとコンプライアンスのベストプラクティスに基づいています。登録済みの新たに作成された OU とアカウントは、ランディングゾーンと既存の組織の構造および請求の一部となります。Organizations で現在管理されている既存のアカウントは、AWS Control Tower を使用して個別にまたはスクリプト経由で作成された新しい OU に登録できます。 AWS C
AWS Organizations の SCP (サービスコントロールポリシー) で、使わないリージョンを殺しておきます。 Why ? クレデンシャルが悪人の手に渡った場合、意図しない EC2 インスタンスを大量に立ち上げて仮想通貨掘られるなどの事態が起こりうる。特に普段使わないリージョンで悪意のある操作をされると気づきにくい。 特に日本から距離も遠く金額も高くあまり利用しないであろう思われる南米サンパウロリージョンなどで EC2 インスタンスを大量に立ち上げられてしまうと被害も大きくなる。 このような被害を防ぐため、 AWS Organizations の SCP (サービスコントロールポリシー)を使えば、普段使用しないリージョンの利用を制限しておくことができる。 望ましい構成として、 Organizations の親アカウントでは管理者権限の IAM ユーザを作らず、支払いと Orga
AWS CLIを使ってOrganizations環境のIAM Access Analyzerを有効化する | DevelopersIO
みなさんこんにちは、杉金です。 Organizations環境のIAM Access Analyzer有効化をAWS CLIでやってみようと思います。GUIで実施する場合は以下の記事をご覧下さい。 Access Analyzerはリージョン毎に設定する必要があります。リージョンで繰り返し設定する作業をAWS CLIを使って楽しちゃおうというものです。非Organizations環境の場合は以下の記事が参考になります。 1.Organizationsの「信頼されたアクセス」を編集する 管理アカウントでの作業です。信頼されたアクセスからAccessAnalyzerを有効化にします。AWS CloudShell もしくはローカルから AWS CLI を実行します。 私が確認した環境ではCloudShell(aws-cli/2.7.0 Python/3.9.11)で実行しました。 有効化コマンド
こんにちは。 今回は AWS Organizations を使ってハンズオン環境を作っていた際に、使用可能なリージョンを絞りたいという要件が出てきたので、その設定方法について共有します。 使用可能なリージョンを絞ることで、クリーンナップ時の抜け漏れの防止や想定外の操作防止といったことが期待できます。 AWS Organizations とは AWS Organizations は、AWS リソースの増加やスケーリングに合わせて、環境を一元的に管理し、統制するのに役立ちます。AWS Organizations を使って、プログラムから新しい AWS アカウントを作成しリソースを割り当てたり、アカウントをグループ化してワークフローを整理したり、ガバナンスのためにアカウントまたはグループにポリシーを適用したり、すべてのアカウントに単一の支払い方法を利用することで請求を簡素化したりできるようになり
[AWS Organizations]アカウントの所属OUを変更した際の影響範囲を調べる | DevelopersIO
AWS Organizations を使っている環境で、 「アカウントの所属OUを変更」した際の影響範囲を把握するための 確認事項を思いつく限り列挙してみます。 目次 OUの各種ポリシーを確認 Resource Access Manager のOUリソース共有を確認 CloudFormation Stacksets の自動デプロイ・削除設定を確認 ほか AWS Organizations 連携サービスの設定を確認 おわりに 参考 OUの各種ポリシーを確認 OUには現在 4種類のポリシーを設定することが出来ます。 サービスコントロールポリシー(SCP) :: AWS各サービスへのアクセス権限を統制します タグポリシー :: リソースへのタグ付けルールを敷設できます AIサービスのオプトアウトポリシー :: 一部の AWS機械学習サービスの使用を管理できます バックアップポリシー :: AWS
![[AWS Organizations]アカウントの所属OUを変更した際の影響範囲を調べる | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d2c2cbb34cdcda62e4504734b6e345b95ceca145/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F04%2Faws-organizations.png)
背景 前にも一度読んでいて、簡単なblogを書いたけれど、もう少し詳細に日本語で自分用に見返せるメモが欲しいなと、改めて読んでいて思ったので大きな章ごとにまとめておく 2. Organizations I believe that excellent organizations grow from consistently applying a straightforward process. 複雑なパズルもシンプルなアプローチで解けることは意識したい When I have a problem that I want to solve quickly and cheaply, I start thinking about process design. A problem I want to solve permanently and we have time to go slow? T
Amazon Inspector のLambdaのスキャン除外タグ付けをAWS Organizationsのサービスコントロールポリシー (SCP)で防止する | DevelopersIO
Amazon Inspector のLambdaのスキャン除外タグ付けをAWS Organizationsのサービスコントロールポリシー (SCP)で防止する AWS事業本部の梶原@福岡オフィスです。 Amazon Inspector はソフトウェアの脆弱性やネットワークへの意図しない公開がないかなどを継続的にスキャンする脆弱性管理サービスになります。 こちらのAmazon Inspector のスキャンですがコスト要因や他のセキュリティサービスとの競合などの理由でスキャンするリソースの除外設定を行うことができます。 よくある質問 - Amazon Inspector | AWS Q: リソースをスキャンから除外できますか? Lambda 関数の場合:はい、リソースタグを追加することで Lambda 関数をスキャンから除外できます。 標準スキャンの場合は、「InspectorExclusi
Amazon Web Services ブログ AWS Organizations における組織単位のベストプラクティス AWS のお客様は、新しいビジネスのイノベーションを生み出す際に、迅速かつ安全に行動できることを求めています。マルチアカウントフレームワークは、お客様に合ったAWS 環境を計画するのに役立つガイダンスを提供します。このフレームワークは、変化するビジネスニーズに合わせて環境の拡張と適応能力を維持しながら、セキュリティのニーズを満たすように設計されています。適切に設計されたマルチアカウントの AWS 環境の基礎は AWS Organizations です。これは、複数のアカウントを一元的に管理および管理できる AWS サービスです。 この記事では、AWS環境の構築を検討する際に役立つAWS のベストプラクティスに基づいたアーキテクチャについて詳細に説明します。推奨される組織
AWS Organizations の管理アカウントで Trusted Advisor の週次 E メール通知を設定するとメンバーアカウントの情報も集約されたメールが届くのか確認してみた | DevelopersIO
Trusted Advisor の週次 E メール通知機能 + AWS Organizations の Trusted Advisor 組織ビューが有効だと、メールにメンバーアカウントの Trusted Advisor の結果が集約されて通知されるのか?という素朴な疑問を解決するべく試しました。 Trusted Advisor のよくある質問や、ドキュメントを確認しても週次 E メール機能、メンバーアカウントの情報も載ってくるのかわかりませんでした。なので、やってみました。 確認結果 組織ビューを有効化しても週次 E メール通知に含まれる Trusted Advisor の結果はメール通知設定したアカウントのみの情報です。 検証環境 Trusted Advisor 組織ビュー有効化 AWS Enterprise Support を利用している AWS アカウント AWS デベロッパーサポー
AWS Organizations メンバーアカウントのユーザーが、サービスコントロールポリシー (SCP) またはタグポリシーを使用して AWS リソースを作成できないようにしたいと考えています。 簡単な説明 SCP は組織内のアクセス許可の管理には使用できますが、アクセス許可の付与には使用できません。詳細については、「サービスコントロールポリシー (SCP)」を参照してください。 タグポリシーは、Organizations のアカウントの AWS リソースで標準化されたタグを維持するために使用できます。詳細については、「タグポリシー」を参照してください。 解決方法 ユースケースに応じて、次の SCP ポリシーまたはタグポリシーを使用します。 タグポリシーを使用して既存のリソースへのタグ付けを防止する 既存のリソースのタグに影響する操作を実行すると、タグポリシーがチェックされます。例えば
※VCOは、システムである。アテスターの信頼性担保の部分になるシステム って書いてるけど、ホワイトペーパーに書いてる。 この仕組み使って、中身の正当性をちゃんとクリーンにしてる ・・・ VCOの仕組み(formerly known as TCAs) ①VCOがクレデンシャルを発行 (自動的に価格を回答 >> 納得すればClaimerは資金を添えて回答 ②VCOの構成員が、Claimerが 認証を受ける資格があるかどうかの確認 >>クレデンシャル自体をオンチェーンに 載せず、そのハッシュのみが保存される。 ↡ クレデンシャルが、Claimerに送信される pic.twitter.com/Txk3KRixoO — るー (@Lucy_luucha) January 8, 2022
Account Factory から新規 AWS アカウント発行と、Organizations で管理していた AWS アカウントを Control Tower へ登録をやってみた | DevelopersIO
Account Factory から新規 AWS アカウント発行と、Organizations で管理していた AWS アカウントを Control Tower へ登録をやってみた AWS Control Tower と Account Factory で以下の点を抑えるために手を動かしてみました。Account Factory 周りの操作はキャプチャを載せていますのでなんとなく操作雰囲気は伝わるのではないかと思います。 Account Factory からの新規 AWS アカウント発行 有りもののガードレールを設定と検知テスト Organizaitions で管理していた既存 AWS アカウントを Control Tower へ登録 ちょうど良い Control Tower のワークショップがあったので内容を流用して個人的に確認したかった点を追加してやってみた記録です。 AWS CONT
AWS CloudFormation StackSets、AWS Organizations でプログラムを使用した信頼されたアクセスを可能にする API をリリース
本日より、AWS CloudFormation StackSets で、サービスマネージド型 StackSets の使用を開始するのに必要な、AWS Organizations での信頼されたアクセスを有効化、無効化、および記述するための新しい 3 つの API が提供開始されました。サービスマネージド型の StackSets を使用すると、1 つ以上の組織単位 (OU) の、AWS アカウントへのスタックのデプロイを一元管理できます。今回のリリースにより、管理アカウントまたは委任された管理者アカウントの信頼されたアクセスを、プログラムで管理できるようになります。信頼されたアクセスを有効にすると、管理アカウントまたは委任された管理者アカウント用に、AWS Organizations のサービスマネージド型 StackSets を作成し管理するための、必要なアクセス許可が付与されます。AWS
AWSの勉強をしているため、わからなかった言葉をまとめておく。 AWS Organizations OUとは OUとは、Organizational Unitの略らしい。 Organizationsとは = 組織の意味で、要するにOUはその組織の中の部署のことなどをいうらしい。 OU1とかOU2とかでおそらく、OU1 = 営業部、OU2 = システム部みたいな分け方をするんだと思う。 まぁ多分要するに、組織の中でさらに組織を分けて権限を分割したい時にこのOUを作成するみたいですね。
ブックマークしました ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください Twitterで共有
AWS Organizations のメンバーアカウントを他の組織へ移行する: Part 3 | Amazon Web Services
Amazon Web Services ブログ AWS Organizations のメンバーアカウントを他の組織へ移行する: Part 3 3 部構成の本ブログシリーズの第 1 部では、Organizations 内のある組織から別の組織にアカウントを移動する際に、ガイダンスと考慮が必要な AWS Organizations のさまざまな機能を確認しました。具体的には、Organizations のポリシー、AWS Resource Access Manager(AWS RAM) による共有、 AWS グローバル条件コンテキストキーに焦点を当てました。 第 2 部では、Organizations と連携する AWS サービスの委任管理者として登録されているアカウントを移動したい場合に行うべきこと、確認すべきことについて見てきました。 本ブログでは、現在の組織と移行先組織で AWS サービ
当記事は、2022年6月頃にAWS Organizationsの組織からメンバーアカウントを削除できない状況に遭遇し、解決するまでの経緯を示したものです。 前置き AWS Organizationsの用語 スタンドアロンとは AWS Organizationsに所属していない状態のこと。 スタンドアロンアカウントとは AWS Organizationsに所属していないアカウントのこと。 ※例えば、AWS Organizations上で作成したメンバーアカウントは、そのアカウント自体に支払方法(クレカなど)は登録はされていないので、そのメンバーアカウントをスタンドアロンにする(AWS Organizationsから削除する)には、それと同時に支払方法を登録する必要がある。 前提 当事の削除対象のメンバーアカウントは、AWS Organizations上で作成したものであり、削除前の時点でメン
目的 この記事では以下について記載する。 AWS Organizationsを利用し、AWSアカウントを追加する方法 追加したAWSアカウント(メンバーアカウント)へのログイン方法 サービスコントロールポリシー(SCP)によりAWSアカウントの操作を制限する方法 SCPの継承の仕組みについて 想定読者 AWS Organizationsについて勉強している方 SCPについてのイメージが掴めない方 手順 手順としては以下を想定しております。 AWSアカウントの追加 メンバーアカウントへのログイン SCPの有効化、アタッチ SCPの継承の仕組み 1. AWSアカウントの追加 「AWSアカウントを作成」を選択します。 既存のAWSアカウントがある場合は、「既存のAWSアカウントを招待」を選択します。 しばらく待つと作成されます。 「AWSアカウントを作成」の「アカウント所有者のEメールアドレス」
AWS Organizations で AWS CloudFormation のサポートが開始されました。これによりお客様は、自社のアカウント、組織単位 (OU)、ポリシーを、CloudFormation のテンプレートを使って管理できるようになります。このたびの統合により、複数の組織要素をスタックに効率的にデプロイできるようになり、アカウントを横断したスケールを、実施中のポリシーに合わせてより簡単に実行できるようになります。 Infrastructure as Code (IaC) を使用しているクラウドアーキテクトや組織の管理者は、CloudFormation の機能を使って組織の管理をサポートできます。スタックを使用すれば、ユーザーは、インフラストラクチャの管理を簡素化したり、組織の複数のリソースを同時に複製または追加したり、アカウント、OU、ポリシーの変更を簡単に管理、追跡したりで
プログラミング勉強日記 2021年4月23日 AWS Organizationsとは 複数のAWSアカウントを利用している場合に統合管理ができる。IAMのアクセス管理を簡単に実施できるマネーシド型のサービス。 AWS Organizationsでできることは以下の3点である。 AWSアカウントをグループ化してポリシーを適用して一元的に管理することができる。 コンソール・SDK・CLIでAWSアカウントを新規作成して作成内容をログで管理できる。 複数AWSアカウントの請求を一括化できる。 アカウントの設定方法としては、AWSアカウントの中から管理アカウント(マスターアカウント)を選定する。メンバーアカウントは、管理アカウントから招待を承認するとメンバーアカウントとして登録される。AWS Organizatinsを利用した組織的な管理を行うことはできない。 管理の方法 支払一括代行とアカウント
はじめに こんにちは。大阪オフィスの林です。 非Organizations環境のAWSアカウントに対して、Azure ADユーザーからのSSOを検証する機会がありましたので、手順をまとめておきたいと思います。Organizations環境であれば、AWS SSOなどの選択肢も出てくるかと思いますが、今回の検証は非Organizations環境のためAWS SSOは採用できません。本記事が、非Organizations環境でAzure ADユーザーを使ったAWSマネージメントコンソールへのSSOをご検討されている方の参考になれば幸いです。 構成の概要 今回検証する構成の概要は下記のとおりです。 Azure側 Azure ADに紐づけて作成する「エンタープライズアプリケーション」で、AWSマネージメントコンソールにSSOするためのアプリケーションを作成します。 作成したSSO用のエンタープライ
EC2 Image Builder でAMI をAWS Organizations と OU への共有をやってみた(管理コンソール編) | DevelopersIO
ちゃだいん(@chazuke4649)です。 ちょっと前のアップデートですが、EC2 Image Builder でAMI を AWS Organizations と OU に共有することが可能になりました。 EC2 Image Builder を使用して、Amazon マシンイメージ (AMI) を AWS Organizations および Organizations ユニットと共有することが可能に 何が嬉しい? 以前のアップデートでカスタムAMIをOrganizationsとOUに共有することができるようになりましたが、それをImage Builderのパイプラインの中で設定できるようになりました。アップデート前までは、Image Builderで作成したゴールデンイメージを他のAWSアカウントへ共有する場合、明示的にAWSアカウントIDの指定などが必要でしたが、今後はOrganiz
4/22にSAAの試験を受けるためOrganizationsについて書き出して整理する Organizationsでできること ・複数AWSアカウントの一元管理 ・アカウントの新規作成を自動化 ・請求の簡素化 機能セット Consolidated Billing Only → 支払代行のみ All Feature → 企業内でアカウント統制する Organizationsで新規作成アカウントの初回ログイン方法 ・ルートアカウントのパスワードリセット ・スイッチロール ・SSOなどのフェデレーションでログイン アカウント作成時 AWSアカウントの作成時にIAMロールの指定が可能 ※マスターアカウントから管理するロールは統一する方が運用上◎ サービスコントロールポリシー(SCP) ポリシーは組織ルート、OU、アカウント単位で割り当て可能 階層構造に基づきSCPが継承される。 ポリシーの許可・拒
SRE2課 佐竹です。 AWS Organizations のサービスコントロールポリシー(SCP) の「継承」を正しく理解できておらず、設計でハマったので調査してみました。 はじめに 用語説明 SCP(サービスコントロールポリシー) エンティティ Root OU(organizational unit) アカウント FullAWSAccess JSON 調査結果 調査1 調査2 DenyIAMEdit 調査3 調査結果を受けて まとめ はじめに AWS Organizations には「ポリシーの継承」という言葉が出てきます。この「継承」という言葉ですが、以下のように公式ドキュメントで利用されています。 ポリシーを組織ルートにアタッチすると、組織内のすべての OU およびアカウントがそのポリシーを継承します。 特定の OU にポリシーをアタッチすると、その OU または子 OU の直下に
AWS Organizations で委任管理者機能をリリースしました。この機能では、Organizations ポリシーの管理を委任できるため、俊敏性を向上させ、管理を分散させて AWS 組織とメンバーアカウントを管理できるようになります。これにより、メンバーアカウントで運用している各事業部門で、事業部門のニーズに固有のポリシーを管理できるようになりました。きめ細かいアクセス許可を指定することで、柔軟性を実現しながら、高い権限が割り当てられた管理アカウントへのアクセスを制限できます。 AWS Organizations を使用すると、AWS で複数のアカウントを一元管理できます。事業運営が拡大し、AWS Organizations でより多くのアカウントの管理が必要になると、ポリシーの管理を導入したり、スケールしたりするために複数のチーム間の連携が必要になるため、時間がかかることがありま
Security Hub をリージョン集約・Organizations 統合する場合の管理アカウントについて考える | DevelopersIO
管理アカウントではアクセスを最小限まで絞りつつも、普段使用しないリージョンの扱いについて考えてみました。 こんにちは、AWS事業本部の平木です! Security Hub を使って AWS 内のセキュリティサービスの通知を集約していますか? 今回はその集約機能についてタイトルにもある 「Security Hub をリージョン集約・Organizations 統合する場合の管理アカウントについて考える」 を題材に執筆しました。 Security Hub の検知集約とは Security Hub を活用し Organizations 統合とリージョン集約することで、 マルチアカウント環境で使用している AWS のセキュリティサービス(SecurityHub と統合できるもの)の検知を1つのアカウントの1つのリージョンに集約することが可能です。 詳細はこちらのブログをご覧ください。 Contro
Amazon EC2 は AWS Organizations とOrganizational Units 間での Amazon マシンイメージの共有をサポート
Amazon マシンイメージ (AMI) を AWS Organizations や Organizational Units (OU) と共有できるようになりました。これまでは、特定の AWS アカウント ID でのみ AMI を共有することができました。AWS Organizations で AMI を共有するには、AWS Organizations に追加されたり、AWS Organizations から削除された AWS アカウントと AMI の共有を明示的に管理する必要がありました。この新機能により、組織変更のために AMI のパーミッションを更新する必要がなくなりました。組織変更があった場合、AMI の共有は自動的に同期されます。この機能により、AWS アカウントの成長と拡張に合わせて、AMI を一元的に管理・運営することができます。 特定のアカウントで AMI を共有するのと
GuardDuty でのアカウントの管理 AWS Organizations - Amazon GuardDuty
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 GuardDuty でのアカウントの管理 AWS Organizations GuardDuty 組織で使用する場合、 AWS その組織の管理アカウントは、 GuardDuty 組織内の任意のアカウントを委任管理者アカウントとして指定できます。この管理者アカウントでは、 GuardDuty指定されたユーザーでのみ自動的に有効になります。 AWS リージョンこのアカウントには、 GuardDuty その地域内の組織内のすべてのアカウントを有効化および管理する権限もあります。管理者アカウントは、 AWS この組織のメンバーを表示したり、メンバーを追加したりできます。 GuardDuty 招待により関連付けられたメンバーアカウントを持つ管理者アカウントをすでに設定していて
AWS Security HubのOrganizations統合で自動有効化されるセキュリティ基準を無効化できるようになりました | DevelopersIO
先日Security HubのAPIが2つ更新されました。 UpdateOrganizationConfiguration DescribeOrganizationConfiguration UpdateOrganizationConfigurationに以下のパラメータが追加で設定できるようになったようです。 {'AutoEnableStandards': 'NONE | DEFAULT'} コンソール上で言えば、Security Hubの管理アカウント上にAuto-enable default standardsが追加されています。 どのようなアップデート? AWS Security HubはOrganizationsと統合されており、管理者からメンバーアカウントの管理ができます。その際、自動有効化という機能をONに設定していると、組織内に追加された新しいアカウントには以下のような動作
AWS SAP試験対策 #1 問題(ざっくり) ある会社では、複数事業部が各自のAWSアカウントを持っています。すべてのAWSアカウントに対して、事業部ごとに費用を分類した単一のAWS請求書が必要です。また、この会社ではすべてのAWSアカウントに対して、サービスや機能を一元的に制限・管理する必要があります。ソリューションアーキテクトはどうすればいいですか?(手順2つ) * * * * * * * * * * * * * * * * * * 回答 ①AWS Organizationsを使用してすべての機能を有効にした組織を管理アカウントで作成し、その組織にすべてのAWSアカウントを招待する。 ②承認されたサービスと機能だけが許可されたSCPを作成し、そのポリシーをすべてのAWSアカウントに適用する。 要点解説 ①AWS Organizationsの一括請求(コンソリデーティッドビリング) →
データアナリティクス事業本部コンサルティングチームのnkhrです。 Snowflakeでは、Organizations機能により複数アカウントを作成、管理できます。本ブログではOrganization管理のためのORGADMIN Roleの有効化方法や、新しいアカウントの作成方法について記載します。 ORGADMIN Roleはデフォルトで無効となっているため、利用する際はSnowflake Supportへの問い合わせにより有効化します。 2021/10時点では、作成したアカウントの名前変更や削除は、Snowflake Supportに連絡が必要です。 目次 Organizations機能の概要 ORGADMIN Role有効化申請 ORGADMIN Roleの利用 Organizations機能の概要 Organization機能により、以下が実施できます。実行にはORGADMIN R
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 組織内のすべての機能の有効化 すべての機能 - この機能セットを利用して AWS Organizations を使用することをお勧めします。このセットには、一括請求 (コンソリデーティッドビリング) 機能が含まれています。組織を作成する際、デフォルトではすべての機能が有効化されています。すべての機能が有効になっていると、サポートされている AWS サービスとの統合や、組織管理ポリシーなど、高度なアカウント管理機能が AWS Organizations で利用できます。 一括請求 (コンソリデーティッドビリング) 機能 - この機能サブセットはすべての組織でサポートされます。これによって組織内のアカウント管理を一元化するために使用できる基本的な管理ツールが提供されます
背景・目的 AWS Organizationを触る機会があったので、作業のメモを残しておきます。また、概要を簡単にまとめます。 まとめ 複数のAWS アカウントを統合するためのアカウント管理サービス。 一括請求機能が備わっている。 管理者が組織内にアカウントを新規に作成 or 既存アカウントをOrganizationに招待させることができる。 メンバーアカウントをOU(組織単位)という単位にグルーピングが可能。 SCP(サービスコントロールポリシー)を使用して、組織内のメンバーアカウントに対するアクセス許可を指定できる。 概要 こちらの内容を元に概要を整理します。 AWS Organizations は、ユーザーが作成して一元管理する組織に、複数の AWS アカウント を統合するためのアカウント管理サービスです。AWS Organizations には、お客様のビジネスの予算、セキュリティ
AWS Organizations 配下のメンバーアカウントがアクセスした AWS サービス の最終アクセス履歴を取得する | DevelopersIO
AWS Organizations 配下のメンバーアカウントがアクセスした AWS サービス の最終アクセス履歴を取得する AWS アカウント上で AWS サービスレベルの過去のアクセス履歴を確認するとなると IAM Access Advisor をご利用されているかと思います。 AWS Organizations 配下の複数のメンバーアカウントに対して個々に確認しようと思うとうんざりしますね。今回は Organziations 配下のすべてのアカウントを対象に AWS サービスレベルで過去のアクセス履歴を一括で確認する方法を試してみたので紹介します。 公式ドキュメント 以下のリンクは AWS サービスレベルの過去のアクセス履歴を Organziations 全体で確認できるのか?と調べていたらたどり着いたドキュメントです。 Viewing last accessed informatio
IAM Identity Center において新たにアカウントインスタンスの提供が開始されていますが、その違いと、お客様からのお問い合わせを受けて認識した注意点についてまとめました
Organizations統合とSecurity Hub統合 両方行っている場合の動作を確認してみた | DevelopersIO
こんにちは。たかやまです。 Organizationsでは各AWSサービスの統合をサポートしています。また、Security HubはSecurity HubでAWSサービスの統合をサポートしています。 ふと、Organizations統合を使えるサービスとSecurity Hub統合ができるサービス、両方で統合機能を有効化した場合、Security Hub上でイベントが重複しないのか気になりました。 文章だとよくわからないのでイメージ図はこちら 今回はこちらの疑問を解消していこうかと思います。 Organizations統合とSecuirty Hub統合をサポートしているサービス Organizations統合とSecurity Hub統合(Sends Findings)をサポートしているサービスこちらです。 AWS Config AWS Firewall Manager Amazon
AWS Organizations 環境で SCP を使ってインターネットアクセス可能な VPC の作成を許可しない OU を作成してみた | DevelopersIO
AWS Organizations 環境で SCP を使ってインターネットアクセス可能な VPC の作成を許可しない OU を作成してみた いわさです。 AWS Organizations や Control Tower を使って組織の複数の AWS アカウントを管理したり統制したいことがよくあります。 その時、払い出した AWS アカウントを使ってワークロードから無許可でインターネットアクセスへ直接アクセスを許可したくないケースがあります。 AWS Organizaitons 公式ドキュメントの SCP (Service Control Policy) 例としてインターネットアクセスを出来ないようにする SCP の実装例が紹介されています。 マルチアカウント管理のガイダンスとして OU (Organization Unit) に役割を持たせる方法が紹介されています。 今回はセキュリティ制
How Google Cloud is bringing Gemini to organizations everywhere | Google Cloud 公式ブログ
※この投稿は米国時間 2023 年 12 月 14 日に、Google Cloud blog に投稿されたものの抄訳です。 2023 年 Google Cloud は、AI ハイパーコンピュータによる生成 AI モデルの学習とサービング、Vertex AI における生成 AI サポート、エンタープライズ AI プラットフォーム、Duet AI in Google Workspace、Duet AI in Google Cloud などのあらゆる新しい AI イノベーションをお客様、開発者およびユーザー コミュニティに提供してきました。GPU、TPU、ML ソフトウェアとコンパイラ、ワークロード管理などの進歩、Vertex AI におけるイノベーション、そして Google Workspace や Google Cloud Platform における 新たな Duet AI 機能群など、AI
IAMとOrganizations - Qiita
IAMとは AWS Identity and Access Managementの略称。 AWSを安全に操作するための認証・認可の仕組み 認証 通信の相手が誰であるかを確認すること 認可 とある特定の条件に対して、リソースアクセスの権限を与えること 主要機能 IAMユーザー AWS アカウント内に追加される利用ユーザーのこと AWS上の利用者はIAMユーザーという権限を付与されたエンティティとして設定される。 ルートユーザーとIAMユーザーの違い ルートユーザーはAWSアカウント作成すると作られるアカウント内の全てのサービス、リソースへのフルアクセスが許可されているため使用することが非推奨となっているためIAMユーザーに管理者権限を付与することによって管理した方が良い。 IAMユーザーグループ 複数のIAMユーザーをまとめてグループとしてまとめることができる仕組み IAMロール AWSリソ
はじめに ※個人的備忘録です。 AWS CLIがめちゃめちゃ便利ということを最近知りました。 shellスクリプト自体全然書いたことがないので変なスクリプトかもしれませんが。。 本題 jqコマンドを使用しています。 実装 #!/bin/bash AWS_PROFILE_NAME= # aws cliのプロファイル CURRENT_OU_ID= # 移動元OUのID AFTER_OU_ID= # 移動先OUのID GET_ACCOUNT_LENGTH= # 移動したいアカウント数 declare -a result=() for account in $( aws organizations list-accounts-for-parent \ --parent-id ${CURRENT_OU_ID} \ --profile=${AWS_PROFILE_NAME} \ --max-items
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS Organizationsで利用するリージョンを限定しよう! - Qiita
AWS Organizations の SCP を使ってリージョン制限をかけてみよう - Qiita
An Elegant Puzzle: 2 Organizations のメモ | jarinosuke blog
AWS Organizations における組織単位のベストプラクティス | Amazon Web Services
AWS Organizations の SCP とタグポリシーを使用する
KILT:Virtual Credential Organizations|るー
AWS Organizations OUとは何だ - Qiita
『個人でもAWS Organizationsを使ったほうが良い理由 - 本日も乙』へのコメント
AWS Organizationsの組織からメンバーアカウントを削除できなかった件 - Qiita
AWS Organizationsを利用したAWSアカウント管理について - Qiita
リソースを AWS Organizations から AWS CloudFormation を使って管理できるように
【AWS】AWS Organizationsについて - Qiita
非Organizations環境のAWSアカウントにAzure ADのユーザーからSSOしてみた | DevelopersIO
【AWS-SAA】Organizationsについて - Qiita
AWS Organizations の SCP の継承について - サーバーワークスエンジニアブログ
AWS Organizations で委任管理者機能をリリース
AWS SAP対策#1 AWS Organizationsと請求書 - Qiita
Snowflake Organizations開始手続き | DevelopersIO
組織内のすべての機能の有効化 - AWS Organizations
AWS Organizationsを有効化したときのメモ - Qiita
AWS Organizations カテゴリーの記事一覧 - サーバーワークスエンジニアブログ
【AWS Organizations】OUから別のOUへAWSアカウントを移動させる - Qiita