AWS管理・ガバナンス

AWS Organizationsとは

複数のAWSアカウントを組織単位(OU)のツリー構造で一元管理するサービス。一括請求(コスト集約・ボリュームディスカウント)・アカウント作成の自動化・ポリシーの集中管理を提供する。

サービスコントロールポリシー(SCP)でOU/アカウントレベルで許可するサービス・アクションを制限する。IAMポリシーとSCPの両方を満たす権限のみが実際に許可される。

試験での問われ方

SAPでは「マルチアカウント管理・SCPによるガードレール・一括請求」が頻出テーマ。SCPとIAMの評価順序(SCPが上位で最大権限を制限する)は引っかけの核心。

SCPはルートアカウントを含む全アカウントに適用できるが、マスターアカウント(管理アカウント)自身にはSCPが効かないという重要な制約を覚えておく。ポリシーはSCPだけではなく、リソースのタグ付けを標準化するタグポリシーや、AIサービスのデータ利用をオプトアウトするAIサービスオプトアウトポリシー、バックアップポリシーなど複数の種類がある点も押さえる。

一括請求(Consolidated Billing)では組織内全アカウントの使用量が合算されるため、S3やデータ転送のように使うほど単価が下がるボリュームディスカウントや、RI/Savings Plansの割引を組織横断で共有できるメリットがある。

Control Towerは、Organizationsを土台にランディングゾーン(複数アカウントの初期構成)を自動構築し、ガードレール(裏でSCPやConfigルールとして実装される予防的・発見的統制)を一括適用するマネージドな上位サービス、という関係を理解しておく。Control Tower・Config・Security Hubとの統合でマルチアカウントのガバナンス基盤を構築する構成がSAPで問われる。

公式ドキュメントを読む →

このサービスが登場する演習問題(33問)

関連サービス