AWS Operation Tips

• 構成例
  • ルートアカウント(MNG)
    → 初期設定専用でルートユーザーは緊急時（請求・契約・アカウント回復）のみ使用
    • ルートユーザ保有
    • 請求/支払い管理
    • Organizationの親(管理アカウント/ManagementAccount)
    • IdC委任元
    • IAM委任元
    • SCP・タグポリシー管理
  • 共通アカウント(COM)
    → AWS全体管理・運用専用
    • IdCの委任された管理者
    • IAMのメンバーアカウントのための一元化されたルートアクセス権限持ち
  • Organizationの子アカウント1(XAS)
    → ルート認証情報削除後、IdCユーザ運用
    • 既存アカウントでOrgnization下に招待
  • Organizationの子アカウント2(SOU)
    → ルート認証情報削除後、IdCユーザ運用
    • Orgnization内の子アカウントとして新規作成

Organizations親/管理アカウント(MNG)でやること

• MFA を有効化
• root のアクセスキーを作成しない
• 最低限の Budget / コストアラート設定
• IAM Identity Center（SSO）を有効化し、委任された管理者(COM)を登録
• IAMのメンバーアカウントのための一元化されたルートアクセスに共通アカウント(COM)を登録
• 組織共通の CloudTrail を作成
  • ライフサイクル設定付き S3 バケットへ保存
• 共通機能の提供
  • StackSetsの展開
  • パイプラインによる各アカウントの参考情報収集

共通アカウント(COM)でやること

• SCP/OUの設計・設定
• IdC(SSO) User/Group/PermissionSet設計・設定
• Route53のドメイン登録・親DNS管理
  → サブドメインは以降の管理は子アカウントへの権限移譲で実現する

アカウント作成時に共通で行うこと

• IAM ユーザー／ロールによる請求情報へのアクセスを有効化
  • (AccountID) → アカウント(請求とコスト管理.アカウント) → IAM ユーザーおよびロールによる請求情報へのアクセスを有効化
• ルートMFA設定+アクセスキーを作成しない
  • その後、メンバーアカウントのための一元化されたルートアクセス権限持ち(COM)アカウントでIAM.ルートアクセス管理.特権的なアクションを実行するからルートユーザー認証情報を削除を行う
• アカウントエイリアスを設定
• アカウント色設定
• Organization管理アカウントでのOU設定