AWS Organizations でアカウント管理してみる - ユニファ開発者ブログ

久しぶりに作業した時には、ざっと目を通す AWS Organizations の用語と概念 - AWS Organizations

手順

• ログイン https://console.aws.amazon.com/organizations/home?region=ap-northeast-1#/accounts

• [ アカウントの追加 ]->[ アカウントの作成 ]

• フルネーム: kaoru-inoue

• Eメール: kaoru-inoue@hoge.com

• IAM ロール名: OrganizationAccountAccessRole [ 作成 ]をクリック

ログイン

https://console.aws.amazon.com/organizations/home#/accounts [ Organize account ]をクリック、組織を作成する

組織を作成する

[ Create organizational unit ]( [ 新規組織単位 ] )をクリック。 組織名を入力。ハイフンを利用可能だった。使わなくても良いが。

アカウント( というかOrganization のアカウント )の作成

[ Account ]->[ Add account ]->[ Create account ]

一旦、アカウントを作成、実際に使うOrganizationに紐付ける、という作業を行う

アカウント( というかOrganization のアカウント )の情報入力

• [ アカウントの追加 ]->[ アカウントの作成 ]
• フルネーム: hoge.co-dev
• Eメール: system+dev@hoge.com
• IAM ロール名: OrganizationAccountAccessRole [ 作成 ]をクリック

Organizationをアクティベートする

作成したOUの画面で、歯車アイコンをクリックする

Your email address has been verified
You can now invite existing AWS accounts to join your organization.

OUの管理者アカウントでログインする

組織のメンバーアカウントへのアクセスと管理を参考する。 OUのアカウントにもルートユーザがいる、それはOU内のユーザ、グループ、ロールの作成のみに徹した方が良さそう。

組織アカウントには、サインインに使用できるルートユーザーがあります。
ルートユーザーは、IAM ユーザー、グループ、ロールの作成にのみ使用し、通常はこれらのいずれかでサインインすることをお勧めします。

ルートユーザでのログインをするには、一旦、パスワード初期化のプロセスを踏む、とある

• サインインページ( https://console.aws.amazon.com/ )に移動

• [サインイン] ページに [アカウント ID またはエイリアス]、[IAM ユーザー名]、[パスワード] の 3 つのテキストボックスが表示されている場合は、次に [Sign-in using root account credentials (ルートアカウントの資格情報を使ってサインイン)] を選択します。

• AWS アカウントに関連付けられている E メールアドレスを入力し、[次へ] を選択します。

• OUを作成した時に設定したメールアドレスにパスワード再設定用のURLが届くので設定する

• Chromeだと、シークレットウィンドーを立ち上げて、ログインする。右上のアカウントがOU名になっていればOK

OUのルートアカウントでMFAを有効にする

[ IAM ]->[ ルートアカウントの MFA を有効化 ]->[ MFAの管理 ]->[ セキュリティ認証情報に進む ]->[ Multi-Factor Authentication（MFA） ]->[ MFAの有効化 ]->[ 仮想MFAデバイス ]

下記メッセージは[ 次のステップ ]

仮想 MFA デバイスを有効にするには、最初に AWS MFA と互換性のあるアプリケーションをユーザーのスマートフォン、PC、またはその他のデバイスにインストールする必要があります。AWS MFA と互換性のあるアプリケーションのリストは、こちらを参照してください。アプリケーションがインストールされたら、[次のステップ] をクリックして仮想 MFA を設定します。

QRコードが表示される

• 仮想MFAデバイスでQRコードを読み込み
• Authyを立ち上げてQRコードを読み込ませる
• 設定が終わると数字が表示されるので、連続する2回の数字を、AWSのQRコードが表示されている下に入力する
• [ MFAデバイスは正常に関連付けされました ]という表示がでる

IAMロール[ OrganizationAccountAccessRole ]

作成したOU側でIAMロール画面を開き、マスターアカウントでアクセス可能なユーザへアクセス許可を与える

[ IAM ]->[ Role ]->[ OrganizationAccountAccessRole ]->[ 信頼関係 ]のタブ->[ 信頼関係の編集 ]-> 下記のような内容にする

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::1***********:root",
          "arn:aws:iam::1***********:user/kaoru-inoue"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

[ IAM ]->[ ダッシュボード ]->[ IAM ユーザーのサインインリンク ]の[ カスタマイズ ]をクリック

発展

CLI

https://qiita.com/domokun70cm/items/4790c8c515c2009c8fd5