AWS Organizations で使用できる AWS のサービス
AWS Organizations では、複数の AWS アカウント を 1 つの組織に統合することにより、大規模なアカウント管理作業を行うことができます。アカウントを統合すると、他の AWS サービスの使用が簡単になります。選択した AWS サービスで、AWS Organizations で利用できるマルチ・アカウント管理サービスを利用して、組織のメンバーであるすべてのアカウントでタスクを実行できます。
次の表は、AWS Organizations で使用できる AWS のサービスと、組織全体のレベルで各サービスを使用する利点を示しています。
信頼されたアクセス - 互換性のある AWS サービスを有効にして、組織内のすべての AWS アカウント でオペレーションを実行することができます。詳細については、 AWS Organizations を他のAWSサービスと併用するを参照してください。
委任管理者 - 互換性のある AWS サービスでは、組織内の AWS メンバーアカウントをそのサービスにおける組織のアカウントの管理者として登録できます。
| AWSサービス | AWS Organizations で使用する利点 | 信頼されたアクセスをサポート | 委任管理者をサポート |
|---|---|---|---|
|
組織のすべての AWS アカウントの詳細とメタデータを管理します。 |
組織内のすべてのアカウントの代替連絡先情報を作成、更新、削除できます。 |
|
|
|
ISO レポートや PCI レポートなど、AWS セキュリティ・コンプライアンス・レポートをダウンロードします。 |
契約を組織内のすべてのアカウントに代わって受諾できます。 |
|
|
|
クラウドサービスの使用の監査に役立てられるよう、エビデンスの継続的な収集を自動化します。 |
組織内の複数のアカウントによる AWS の使用を継続的に監査し、リスクとコンプライアンスの評価方法を簡素化します。 |
|
|
|
組織内のすべてのアカウントのバックアップを管理およびモニタリングします。 |
組織全体、または組織単位 (OU) におけるアカウントのグループのバックアップ・プランを設定および管理できます。すべてのアカウントのバックアップを一元的にモニタリングできます。 |
|
|
|
1 回の操作で、複数のアカウントとリージョンにまたがるスタックを作成、更新、または削除できます。 |
管理アカウントまたは委任管理者アカウントのユーザーは、組織内のアカウントにスタック・インスタンスを配備する、サービスによって管理されたアクセス許可を持つスタックセットを作成できます。 |
|
|
|
アカウントのガバナンス、コンプライアンス、および運用とリスクの監査を実行できます。 |
管理アカウントまたは委任管理者アカウントのユーザーは、組織のアカウントに関するすべてのイベントをログに記録するイベントデータストアまたは組織の証跡を作成できます。 |
|
|
|
AWS リソースおよび AWS で実行しているアプリケーションをリアルタイムでモニタリングします。 |
組織のすべてのアカウント間で、すべての CloudWatch Events の共有を有効にできます。 詳細については、Amazon CloudWatch Events ユーザーガイドの AWS アカウント 間のイベントの送受信を参照してください。 |
|
|
|
AWS コンピューティング最適化の推奨事項を入手します。 |
組織のアカウントにあるすべてのリソースを分析して、最適化の推奨事項を取得できます。 詳細については、AWS Compute Optimizer ユーザーガイドの Compute Optimizer によってサポートされるアカウントを参照してください。 |
|
|
|
AWS リソースの設定を診断、監査、評価します。 |
コンプライアンスステータスに関する組織全体のビューを取得できます。AWS Config API オペレーションを使用して、組織のすべての AWS アカウント を対象に、AWS Config ルールと適合パックを管理することもできます。 委任管理者アカウントを使用し、AWS Organizations の組織のメンバーアカウント全体を対象に、リソース構成とコンプライアンス・データを集約できます。詳細については、AWS Config デベロッパー・ガイドの委任された管理者の登録を参照してください。 |
|
詳細はこちら マルチ・アカウント、マルチ・リージョンのデータ集計 |
|
基準に準拠した安全な AWS マルチ・アカウント環境をセットアップして管理します。 |
すべての AWS リソースのマルチアカウント環境であるランディング・ゾーンを設定できます。この環境には、組織および組織のエンティーティが含まれています。この環境を使用して、すべての AWS アカウント にコンプライアンス規制を適用できます。 詳細については、AWS Control Tower ユーザーガイドのAWS Control Towerの仕組みおよびAWS Organizations によるアカウントの管理を参照してください。 |
|
|
|
ログデータから可視化を生成して、セキュリティに関する検出結果や疑わしいアクティビティの根本原因の分析、調査、および迅速な特定を行います。 |
Amazon Detective を AWS Organizations と統合して、すべての組織のアカウントのアクティビティを Detective の動作グラフで可視化できるようにします。 |
|
|
|
運用データとアプリケーションのメトリクスおよびイベントを分析し、通常の運用パターンから逸脱する動作を特定します。DevOps Guru が運用上の問題またはリスクを検出すると、ユーザーに通知されます。 |
AWS Organizations と統合して、組織全体のすべてのアカウントから取得したインサイトを管理できます。管理者を委任すると、すべてのアカウントから取得したインサイトを表示、ソート、およびフィルタリングし、すべての監視対象アプリケーションの組織全体の健全性を取得できます。 |
|
|
|
AWS クラウドでディレクトリをセットアップして実行したり、AWS リソースを既存のオンプレミス Microsoft Active Directory に接続したりできます。 |
AWS Directory Service と AWS Organizations 統合して、リージョン内の複数のアカウントおよび任意の VPC 間でシームレスなディレクトリ共有を行うことができます。 |
|
|
|
アカウントやアプリケーション間でウェブアプリケーションのファイアウォール・ルールを一元的に設定、管理します。 |
組織のアカウント全体に対する AWS WAF ルールを一元的に設定および管理できます。 |
|
|
|
GuardDuty は、さまざまなデータソースからの情報を分析および処理する継続的セキュリティモニタリングサービスです。脅威インテリジェンスフィードおよび機械学習を使用して、AWS 環境内の予期しないアクティビティ、不正の可能性があるアクティビティ、悪意のあるアクティビティを識別します。 |
組織内のすべてのアカウントに対して、GuardDuty を確認および管理するメンバーアカウントを指定できます。メンバーアカウントを追加すると、選択した AWS リージョン リージョンのそれらのアカウントに対して GuardDuty が自動的に有効になります。また、組織に追加された新しいアカウントに対して GuardDuty のアクティベーションを自動化することもできます。 詳細については、Amazon GuardDuty ユーザーガイドの GuardDuty and Organizations を参照してください。 |
|
|
|
リソースのパフォーマンスに影響する可能性のあるイベントや、AWS サービスの可用性に関する問題を可視化します。 |
組織内の複数のアカウントを対象に、AWS Health イベントを集計できます。 |
|
|
|
AWS Identity and Access Management AWS リソースへのアクセスを安全にコントロールします。 |
IAM のサービスの最後にアクセスされたデータを使用することで、組織全体の AWS アクティビティをより詳しく把握できます。このデータを使用してサービス・コントロール・ポリシー (SCP) を作成、更新し、組織のアカウントが使用する AWS サービスだけにアクセスを限定することができます。 設定例については、IAM ユーザーガイドの情報を使用した組織単位のアクセス許可の調整を参照してください。 |
|
|
|
AWS 環境内のリソースベースのポリシーを分析して、信頼ゾーン外のプリンシパルへのアクセスを許可するポリシーを特定します。 |
IAM Access Analyzer の管理者には、メンバーアカウントを指定できます。 詳細については、IAM ユーザーガイド の Access Analyzer の有効化を参照してください。 |
|
|
|
AWS ワークロードの脆弱性を自動的にスキャンして、Amazon ECR に存在する Amazon EC2 インスタンスおよびコンテナ・イメージでソフトウェアの脆弱性や意図しないネットワークの公開 (ネットワーク・エクスポージャー) がないかを検出します。 |
管理者を委任することで、メンバーアカウントのスキャンの有効化または無効化、組織全体の集約された調査結果データの表示、抑制ルールの作成および管理などが可能になります。 詳細については、「Amazon Inspector ユーザーガイド」の「AWS Organizations で複数のアカウントを管理する」を参照してください。 |
|
|
|
ソフトウェアライセンスをクラウドに移動するプロセスを効率化します。 |
組織全体でコンピューティングリソースのクロス・アカウントの検出を有効にすることができます。 |
|
|
|
機械学習を使用してビジネス・クリティカルなコンテンツを検出および分類し、データのセキュリティとプライバシーの要件を満たすのに役立ちます。Amazon S3 に保存されているコンテンツを継続的に評価し、潜在的な問題があれば通知します。 |
組織内のすべてのアカウントに対して Amazon Macie を設定し、指定された Macie 管理者アカウントのすべてのアカウントで、Amazon S3 のすべてのデータを一括表示することができます。組織の成長に合わせて新しいアカウントのリソースを自動的に保護するように Macie を設定できます。組織全体の S3 バケット間でポリシーの設定ミスを修正するよう求めるアラートが生成されます。 |
|
|
|
厳選されたデジタルカタログで、ここからサードパーティーのソフトウェア、データ、サービスを検索、購入、配置、管理し、ソリューションの構築やビジネス運営に活用することができます。 |
AWS Marketplace でのサブスクリプションと購入物に関しては、組織内のすべてのアカウントでライセンスを共有できます。 |
|
|
|
アカウント、リージョン、オン・プレミスにまたがるAWSクラウド WAN・ コア・ネットワークとAWSTransit Gateway ネットワークAWSの一元管理が可能です。 |
トランジット・ゲートウェイとそれらの付属リソースを持つグローバルネットワークをAWS組織内の複数のアカウント一元的に管理および監視できます。 |
|
|
|
自分が所有している AWS リソースを指定して、他のアカウントと共有します。 |
組織内で、追加の招待を交換することなくリソースを共有できます。共有できるリソースには、Route 53 リゾルバーのルール、オンデマンド・キャパシティーの予約などがあります。 キャパシティー予約の共有については、Linux インスタンス用 Amazon EC2 ユーザーガイドまたは Windows インスタンス用 Amazon EC2 ユーザーガイドを参照してください。 共有可能なリソースの一覧については、AWS RAM ユーザーガイドの共有可能なリソースを参照してください。 |
|
|
|
AWS のセキュリティ状態を把握し、セキュリティの業界標準およびベスト・プラクティスに照らして環境をチェックします。 |
Security Hub は、追加した新しいアカウントを含む組織のすべてのアカウントに対し、自動的に有効にすることができます。これにより、Security Hub のチェックと検出がより広範囲に行えるようになり、セキュリティ体制の全体像をより正確に把握できます。 |
|
|
|
Amazon S3 ストレージの使用状況とアクティビティに関するメトリクスを可視化し、ストレージを最適化する実用的な推奨事項を提供します。 |
Amazon S3 Storage Lens を設定することで、Amazon S3 ストレージの使用状況とアクティビティの傾向を可視化するとともに、組織のすべてのメンバーアカウントに向けた推奨事項を取得することが可能になります。 |
|
|
|
AWS での使用が承認された IT サービスのカタログを作成および管理します。 |
ポートフォリオ ID を共有することなく、アカウント間でより簡単にポートフォリオの共有と製品のコピーができます。 |
|
|
|
一元的な場所から、サービスクォータ (制限とも呼ばれます) を表示および管理します。 |
クォータ・リクエスト・テンプレートを作成して、組織のアカウントの作成時に自動的にクォータの引き上げをリクエストできます。 |
|
|
|
AWS IAM Identity Center (successor to AWS Single Sign-On) すべてのアカウントとクラウドアプリケーションに対してシングルサインオンサービスを提供します。 |
ユーザーは企業の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられている管理アカウントまたはメンバーアカウント内のリソースにアクセスできます。 |
|
|
|
AWS リソースの可視性と制御を可能にします。 |
Systems Manager Explorer を使用することにより、組織内のすべての AWS アカウント 間でオペレーションデータを同期できます。 また、Systems Manager Change Manager を使用すれば、委任管理者アカウントから、組織内のすべてのメンバーアカウントを対象に、変更のテンプレート、承認、レポート作成を管理できます。 |
|
|
|
組織のアカウントのリソース間でタグを標準化するのに役立ちます。 |
タグポリシーを作成して特定のリソースおよびリソースタイプのタグ付けルールを定義し、そのポリシーを組織とアカウントにアタッチして適用できます。 |
|
|
|
Trusted Advisor では、お客様の AWS 環境を検査し、コスト削減、システムの可用性とパフォーマンスの向上、セキュリティギャップの解消につながる推奨事項をお知らせします。 |
Trusted Advisor チェックを組織のすべての AWS アカウント で実行してください。 |
|
|
|
AWS Well-Architected Tool は、ワークロードの状態を文書化し、それらを最新の AWS アーキテクチャのベストプラクティスと比較するのに役立ちます。 |
AWS WA Tool と Organizations のどちらのカスタマーも、組織の他のメンバーと AWS WA Tool リソースを共有するプロセスを簡素化できます。 |
|
|
|
Amazon VPC IP アドレスマネージャー(IPAM) IPAM は、AWS ワークロードの IP アドレスを簡単に計画、追跡、およびモニタリングできる VPC 機能です。 |
組織全体の IP アドレスの使用状況をモニタリングし、メンバーアカウント間で IP アドレス・プールを共有します。 |
|
|
|
Reachability Analyzer は、仮想プライベートクラウド (VPC) 内のソースリソースと送信先リソース間の接続テストを実行できるようにする設定分析ツールです。 |
組織内のアカウント間のパスを追跡できます。 |
|
|
