AWSマルチアカウント管理のススメ｜atlax/アトラックス｜野村総合研究所(NRI)

山田康博

はじめに

こんにちは。AWSビジネス推進を担当しているNRIの山田康博です。

自社のAWSの利用が増える中、皆さんはどのようにAWSアカウントを管理していますか。
マルチアカウント管理を題材にした記事は多くありますが、今回は自社のAWSアカウントを管理する方向けに、マルチアカウント管理の3つのフェーズをご紹介します。

本ブログを通して、自社がどのフェーズにいるかを認識し、次のフェーズに行くとどのようなメリットを享受できるかを把握していただければと思います。

なぜマルチアカウント管理をする必要があるか

そもそも、なぜマルチアカウント管理をする必要があるのでしょうか。マルチアカウント管理ない場合にどのような問題が発生するのか、おさらいしましょう。
自社のAWSアカウント数が5, 10, 50, 100, 200・・・と増えた場合、どのような壁にぶつかるでしょうか。

例えば、

・自社に存在するアカウントがわからない（いくつ？誰が管理者？）

・セキュリティ設定がアカウント毎にバラバラ

・大規模なトラブル時に各アカウントの状況をウォッチできない

・誰がどの権限を持っているか、すぐにわからない

などセキュリティ、ガバナンスの面で問題があります。

AWSアカウントを管理するアカウント管理者は、AWSアカウント数が少ない時は上記の問題を対処できるかもしれません。しかし、管理対象となるAWSアカウント数が増加するにつれ、アカウント管理者の負荷が高まり、問題への対処も困難になっていきます。アカウント管理者を増員して解決するという考え方もありますが、人的リソースも限りがあるため、問題の根本的な解決に至りません。

「限られたリソース」の中でも問題を解決するために登場するのが「マルチアカウント管理」です。

マルチアカウント管理を実現するAWS Organizationsとは

AWSマルチアカウント管理を行うために最も重要となるのは「AWS Organizations」です。AWS Organizationsは、複数のAWSアカウントを一元管理できるAWSサービスです。
通常、システム構築等で利用するMember accountの他に、それらを管理するManagement accountを用意し、Management accountとMember accountを紐づけます。複数のMember accountをOU(Organization Unit)という単位でグループ化して管理することもできます。

詳細は後のフェーズ2、フェーズ3でご紹介します。

マルチアカウント管理のフェーズ

本題のマルチアカウント管理をフェーズ毎にご紹介いたします。

フェーズ1：シングルアカウント

AWSを利用するにあたり、最もシンプルな構成です。AWS Organizationsを利用せず、AWSを使い始めたばかりの際に、こちらの構成となっていることがあります。

それぞれのアカウントは独立しており、アカウント毎にクレジットカード情報を設定し、AWSへ支払いを行います。アカウント管理者は、アカウントが作成されたら作成者から連絡を貰わないと、全てのAWSアカウントの存在を把握することができません。

アカウントが増えてきた場合は、次のフェーズ2にステップアップをご検討されてみてはいかがでしょうか。

フェーズ2：AWS Organizationsによるマルチアカウント管理

AWS Organizationsを利用して、複数のMember accountを1つのManagement accountに紐づけます。新規アカウント作成はManagement accountで実施します。シングルアカウント作成を禁止してManagement accountから作成する運用とすることで、自社に存在する全アカウントを把握することが出来ます。またManagement accountで紐づくアカウントのAWS利用料の支払いを1つに集約することが出来ます。

一方、アカウント管理者はAWSへの支払い業務とアカウントの払い出し業務が発生するため、管理負荷は増えます。

AWSリセールサービスは、請求代行業務を実施するための条件をクリアした企業が提供する法人向けサービスで、請求代行者(リセラー)を介してAWSを契約することで、AWSへの支払い、Management account毎の請求、アカウントの払い出しなど、リセラーに任せることができます。

ちなみに、NRIは AWSパートナーとして「AWS Solution Provider Program」を取得し、AWSリセールサービスを提供していますのでご相談ください。

フェーズ3：高度な統制管理

最近は、全社として統制をとりたいというお客様からのご要望を頂くことがあります。

例えば、セキュリティ上重要な設定をアカウント共通で導入したい、ログやアラート情報をアカウント管理者が確認できるようにしたい、AWSアカウントにログインするIAMユーザが多過ぎるので集約したいといったご要望があります。

これらを解決するために、

・複数アカウントをOU(Organization Unit)に纏めて、OUにセキュリティ設定を反映

・管理情報（ログ・アラート）を集約するアカウントを作成

・認証機能の集約

することで高度な統制をとることができます。

OUやログ・アラート情報の一元化を実現する場合、自力でAWS環境を構築する他に、「AWS Control Tower」を活用する方法があります。AWS Control Towerは、数多くの企業との連携で確立されたベストプラクティスに基づいて、安全性と適合性を備えた、複数アカウントの AWS 環境を設定および管理するサービスです。

AWS Control Towerを使うことで一気にフェーズ3まで進めることが出来るのは嬉しいですよね。なお、先述したAWSリセールサービスを活用している場合、AWS Control Towerの利用には契約変更が発生する場合があるため、リセラーに相談をしましょう。

ちなみに、NRIマルチアカウントソリューションである『QUMOA』はAWS Control Towerのご利用が可能です。QUMOAはAWS Control Tower をベースとして採用し、エンタープライズ企業へ提供したNRI独自の知見やノウハウを集約したセキュリティ・統制ソリューションです。また、アカウント数に比例した管理負荷の増大を抑え、統制・セキュリティと開発スピードのバランスを取るための「AWSマルチアカウント環境を迅速にセットアップ」できます。ご興味がある方は、以下のサイトをご参照ください。

atlax.nri.co.jp

フェーズ3で全社的に統制を取る場合、企業内でポリシーを決め、ポリシーに沿ったAWS環境の構築・運用が必要です。現実的かつセキュアなポリシー作成するためには、AWSの知識だけでなく、企業内のセキュリティに対する考え方、開発頻度・開発自由度などのシステム開発者の意向、アカウント管理者とシステム開発者の役割分担など、幅広い知識を総合的に組み合わせることが重要です。

NRIは多くのお客様の事例を元に、企業個別のポリシーに合わせて構築をご支援し、かつ維持管理をアウトソースして頂くことが可能です。それによりアカウント管理者の負荷を軽減し、現実的な運用としつつ、貴重な人的リソースを節約することが出来ます。

終わりに

フェーズが上がるほど、統制はとれますが管理負荷は増えますので、上のフェーズであることが必ずしも企業にとって最適とは限りません。
ただAWSアカウント数が多くなりコントロールが難しくなってきたら、上のフェーズへステップアップをご検討されてみてはいかがでしょうか。自社のAWSマルチアカウント管理がどのフェーズにいるかをご確認いただき、次のフェーズを目指してロードマップとアクションプランの策定を進めて頂ければと思います。

NRIは、ご紹介した全てのフェーズのご支援が可能です。ロードマップ、アクションプラン策定等のコンサルティングから、構築、クラウド運用の全てをカバーしております。
詳しくは、以下のNRIのatlaxのページをご参照ください。

atlax.nri.co.jp

本ブログとatlaxページをご参照いただき、皆さまにとって最適なAWSマルチアカウント管理を目指して頂ければと思います。
最後までお読みいただき、ありがとうございました。