AWS Organizations で使用できる AWS のサービス
AWS Organizations では、複数の AWS アカウント を 1 つの組織に統合することにより、大規模なアカウント管理作業を行うことができます。アカウントを統合すると、他の AWS サービスの使用が簡単になります。選択した AWS Organizations サービスで、AWS で利用できるマルチアカウント管理サービスを利用して、組織のメンバーであるすべてのアカウントでタスクを実行できます。
次の表は、AWS で使用できる AWS Organizations のサービスと、組織全体のレベルで各サービスを使用する利点を示しています。
信頼されたアクセス - 互換性のある AWS サービスを有効にして、組織内のすべての AWS アカウント でオペレーションを実行することができます。詳細については、AWS Organizations を AWS の他のサービスと併用する を参照してください。
委任管理者 - 互換性のある AWS サービスでは、組織内の AWS メンバーアカウントをそのサービスにおける組織のアカウントの管理者として登録できます。
| AWS のサービス | AWS Organizations で使用する利点 | 信頼されたアクセスをサポート | 委任管理者をサポート |
|---|---|---|---|
|
ISO レポートや PCI レポートなど、AWS セキュリティコンプライアンスレポートをダウンロードします。 |
契約を組織内のすべてのアカウントに代わって受諾できます。 |
|
|
|
クラウドサービスの使用の監査に役立てられるよう、エビデンスの継続的な収集を自動化します。 |
組織内の複数のアカウントによる AWS の使用を継続的に監査し、リスクとコンプライアンスの評価方法を簡素化します。 |
|
|
|
組織内のすべてのアカウントのバックアップを管理およびモニタリングします。 |
組織全体、または組織単位 (OU) におけるアカウントのグループのバックアッププランを設定および管理できます。すべてのアカウントのバックアップを一元的にモニタリングできます。 |
|
|
|
1 回のオペレーションで、複数のアカウントとリージョンにわたってスタックを作成、更新、または削除します。 |
管理アカウントまたは委任管理者アカウントのユーザーは、組織内のアカウントにスタックインスタンスをデプロイする、サービスによって管理されたアクセス許可を持つスタックセットを作成できます。 |
|
|
|
アカウントのガバナンス、コンプライアンス、および運用とリスクの監査を実行できます。 |
管理アカウントのユーザーは、組織の証跡を作成して、組織のすべてのアカウントに関するすべてのイベントをログに記録できます。 |
|
|
|
AWS リソースおよび AWS で実行しているアプリケーションをリアルタイムでモニタリングします。 |
組織のすべてのアカウント間で、すべての CloudWatch Events の共有を有効にできます。 詳細については、Amazon CloudWatch Events ユーザーガイドの AWS アカウント 間のイベントの送受信を参照してください。 |
|
|
|
AWS コンピューティング最適化の推奨事項を入手します。 |
組織のアカウントにあるすべてのリソースを分析して、最適化の推奨事項を取得できます。 詳細については、AWS Compute Optimizer ユーザーガイドの Compute Optimizer によってサポートされるアカウントを参照してください。 |
|
|
|
AWS リソースの設定を診断、監査、評価します。 |
コンプライアンスステータスに関する組織全体のビューを取得できます。AWS Config API オペレーションを使用して、組織のすべての AWS アカウント を対象に、AWS Config ルールと適合パックを管理することもできます。 委任管理者アカウントを使用し、AWS Organizations の組織のメンバーアカウント全体を対象に、リソース構成とコンプライアンスデータを集約できます。詳細については、AWS Config デベロッパーガイドの委任された管理者の登録を参照してください。 |
|
詳細はこちら: |
|
基準に準拠した安全な AWS マルチアカウント環境をセットアップして管理します。 |
すべての AWS リソースのマルチアカウント環境であるランディングゾーンをセットアップできます。この環境には、組織および組織のエンティティが含まれています。この環境を使用して、すべての AWS アカウント にコンプライアンス規制を適用できます。 詳細については、AWS Control Tower ユーザーガイドのAWS Control Tower のしくみおよび AWS Organizations によるアカウントの管理参照してください。 |
|
|
|
AWS クラウドでディレクトリをセットアップして実行したり、AWS リソースを既存のオンプレミス Microsoft Active Directory に接続したりできます。 |
AWS Directory Service と AWS Organizations 統合して、リージョン内の複数のアカウントおよび任意の VPC 間でシームレスなディレクトリ共有を行うことができます。 |
|
|
|
アカウントやアプリケーション間でウェブアプリケーションのファイアウォールルールを一元的に設定、管理します。 |
組織のアカウント全体に対する AWS WAF ルールを一元的に設定および管理できます。 |
|
|
|
GuardDuty は、さまざまなデータソースからの情報を分析および処理する継続的セキュリティモニタリングサービスです。脅威インテリジェンスフィードおよび機械学習を使用して、AWS 環境内の予期しないアクティビティ、不正の可能性があるアクティビティ、悪意のあるアクティビティを識別します。 |
組織内のすべてのアカウントに対して、GuardDuty を確認および管理するメンバーアカウントを指定できます。メンバーアカウントを追加すると、選択した AWS リージョン リージョンのそれらのアカウントに対して GuardDuty が自動的に有効になります。また、組織に追加された新しいアカウントに対して GuardDuty のアクティベーションを自動化することもできます。 詳細については、Amazon GuardDuty ユーザーガイドの GuardDuty and Organizations を参照してください。 |
|
|
|
リソースのパフォーマンスに影響する可能性のあるイベントや、AWS サービスの可用性に関する問題を可視化します。 |
組織内の複数のアカウントを対象に、AWS Health イベントを集計できます。 |
|
|
|
AWS Identity and Access Management AWS リソースへのアクセスを安全にコントロールします。 |
IAM のサービスの最後にアクセスされたデータを使用することで、組織全体の AWS アクティビティをより詳しく把握できます。このデータを使用してサービスコントロールポリシー (SCP) を作成、更新し、組織のアカウントが使用する AWS サービスだけにアクセスを限定することができます。 設定例については、IAM ユーザーガイドの情報を使用した組織単位のアクセス許可の調整を参照してください。 |
|
|
|
AWS 環境内のリソースベースのポリシーを分析して、信頼ゾーン外のプリンシパルへのアクセスを許可するポリシーを特定します。 |
IAM Access Analyzer の管理者には、メンバーアカウントを指定できます。 詳細については、IAM ユーザーガイド の Access Analyzer の有効化を参照してください。 |
|
|
|
ソフトウェアライセンスをクラウドに移動するプロセスを効率化します。 |
組織全体でコンピューティングリソースのクロスアカウントの検出を有効にすることができます。 |
|
|
|
機械学習を使用してビジネスクリティカルなコンテンツを検出および分類し、データのセキュリティとプライバシーの要件を満たすのに役立ちます。Amazon S3 に保存されているコンテンツを継続的に評価し、潜在的な問題があれば通知します。 |
組織内のすべてのアカウントに対して Amazon Macie を設定し、指定された Macie 管理者アカウントのすべてのアカウントで、Amazon S3 のすべてのデータを一括表示することができます。組織の成長に合わせて新しいアカウントのリソースを自動的に保護するように Macie を設定できます。組織全体の S3 バケット間でポリシーの設定ミスを修正するよう求めるアラートが生成されます。 |
|
|
|
厳選されたデジタルカタログで、ここからサードパーティーのソフトウェア、データ、サービスを検索、購入、デプロイ、管理し、ソリューションの構築やビジネス運営に活用することができます。 |
AWS Marketplace でのサブスクリプションと購入物に関しては、組織内のすべてのアカウントでライセンスを共有できます。 |
|
|
|
自分が所有している AWS リソースを指定して、他のアカウントと共有します。 |
組織内で、追加の招待を交換することなくリソースを共有できます。共有できるリソースには、Route 53 リゾルバーのルール、オンデマンドキャパシティーの予約などがあります。 キャパシティー予約の共有については、Linux インスタンス用 Amazon EC2 ユーザーガイドまたは Windows インスタンス用 Amazon EC2 ユーザーガイドを参照してください。 共有可能なリソースの一覧については、AWS RAM ユーザーガイドの共有可能なリソースを参照してください。 |
|
|
|
AWS のセキュリティ状態を把握し、セキュリティの業界標準およびベストプラクティスに照らして環境をチェックします。 |
Security Hub は、追加した新しいアカウントを含む組織のすべてのアカウントに対し、自動的に有効にすることができます。これにより、Security Hub のチェックと検出がより広範囲に行えるようになり、セキュリティ体制の全体像をより正確に把握できます。 |
|
|
|
Amazon S3 ストレージの使用状況とアクティビティに関するメトリクスを可視化し、ストレージを最適化する実用的な推奨事項を提供します。 |
Amazon S3 Storage Lens を設定することで、Amazon S3 ストレージの使用状況とアクティビティの傾向を可視化するとともに、組織のすべてのメンバーアカウントに向けた推奨事項を取得することが可能になります。 |
|
|
|
AWS での使用が承認された IT サービスのカタログを作成および管理します。 |
ポートフォリオ ID を共有することなく、アカウント間でより簡単にポートフォリオの共有と製品のコピーができます。 |
|
|
|
一元的な場所から、サービスクォータ (制限とも呼ばれます) を表示および管理します。 |
クォータリクエストテンプレートを作成して、組織のアカウントの作成時に自動的にクォータの引き上げをリクエストできます。 |
|
|
|
すべてのアカウントとクラウドアプリケーションに対してシングルサインオンサービスを提供します。 |
ユーザーは企業の認証情報を使用して AWS SSO ユーザーポータルにサインインし、割り当てられている管理アカウントまたはメンバーアカウント内のリソースにアクセスできます。 |
|
|
|
AWS リソースの可視性と制御を可能にします。 |
Systems Manager Explorer を使用することにより、組織内のすべての AWS アカウント 間でオペレーションデータを同期できます。 また、Systems Manager Change Manager を使用すれば、委任管理者アカウントから、組織内のすべてのメンバーアカウントを対象に、変更のテンプレート、承認、レポート作成を管理できます。 |
|
|
|
組織のアカウントのリソース間でタグを標準化するのに役立ちます。 |
タグポリシーを作成して特定のリソースおよびリソースタイプのタグ付けルールを定義し、そのポリシーを組織とアカウントにアタッチして適用できます。 |
|
|
|
Trusted Advisor では、お客様の AWS 環境を検査し、コスト削減、システムの可用性とパフォーマンスの向上、セキュリティギャップの解消につながる推奨事項をお知らせします。 |
Trusted Advisor チェックを組織のすべての AWS アカウント で実行してください。 |
|
|
