AWS Organizations で使用できる AWS のサービス - AWS Organizations

AWS Organizations で使用できる AWS のサービス

AWS Organizations では、複数の AWS アカウントを 1 つの組織に統合することにより、大規模なアカウント管理作業を行うことができます。アカウントを統合すると、他の AWS サービスの使用が簡単になります。選択した AWS サービスで、AWS Organizations で利用できるマルチアカウント管理サービスを利用して、組織のメンバーであるすべてのアカウントでタスクを実行できます。

次の表は、AWS Organizations で使用できる AWS のサービスと、組織全体のレベルで各サービスを使用する利点を示しています。

信頼されたアクセス – 互換性のある AWS のサービスを有効にして、組織内のすべての AWS アカウントでオペレーションを実行することができます。詳細については、「他の AWS サービスで信頼されたアクセスを有効にする」を参照してください。

委任管理者 – 互換性のある AWS のサービスでは、組織内の AWS メンバーアカウントをそのサービス内の組織のアカウントの管理者として登録できます。

AWS サービス AWS Organizations で使用する利点 サービスプリンシパル 信頼されたアクセスをサポート 委任管理者をサポート

AWS Artifact

ISO レポートや PCI レポートなど、AWS セキュリティコンプライアンスレポートをダウンロードします。

契約を組織内のすべてのアカウントに代わって受諾できます。

aws-artifact-account-sync.amazonaws.com

あり

詳細はこちら

AWS Backup

組織内のすべてのアカウントのバックアップを管理およびモニタリングします。

組織全体、または組織単位 (OU) におけるアカウントのグループのバックアッププランを設定および管理できます。すべてのアカウントのバックアップを一元的にモニタリングできます。

backup.amazonaws.com

あり

詳細はこちら

AWS CloudFormation StackSets

1 回のオペレーションで、複数のアカウントとリージョンにわたってスタックを作成、更新、または削除します。

マスターアカウントのユーザーは、組織内のアカウントにスタックインスタンスをデプロイする、サービスによって管理されたアクセス許可を持つスタックセットを作成できます。

member.org.stacksets.cloudformation.amazonaws.com

あり

詳細はこちら

AWS CloudTrail

アカウントのガバナンス、コンプライアンス、および運用とリスクの監査を実行できます。

マスターアカウントのユーザーは、組織の証跡を作成して、組織のすべてのアカウントに関するすべてのイベントをログに記録できます。

cloudtrail.amazonaws.com

あり

詳細はこちら

Amazon CloudWatch Events

AWS リソースおよび AWS で実行しているアプリケーションをリアルタイムでモニタリングします。

組織のすべてのアカウント間で、すべての CloudWatch イベント の共有を有効にできます。

詳細については、Amazon CloudWatch Events ユーザーガイドの「AWS アカウント間のイベントの送受信」を参照してください。

AWS Compute Optimizer

AWS コンピューティング最適化の推奨事項を入手します。

組織のアカウントにあるすべてのリソースを分析して、最適化の推奨事項を取得できます。

詳細については、AWS Compute Optimizer ユーザーガイドの「Compute Optimizer でサポートされているアカウント」 を参照してください。

compute-optimizer.amazonaws.com

あり

詳細はこちら

AWS Config

AWS リソースの設定を診断、監査、評価します。

コンプライアンスステータスに関する組織全体のビューを取得できます。 AWS Config API オペレーションを使用して、組織のすべての AWS アカウントを対象にして AWS Config ルールと適合パックを管理することもできます。

複数 AWS Config:
config.amazonaws.com
AWS Config ルールの場合:
config-multiaccountsetup.amazonaws.com

あり

詳細はこちら

あり

詳細はこちら:

Config ルール

コンフォーマンスパック

AWS Control Tower

安全かつ基準に準拠した複数の AWS アカウント環境をセットアップおよび管理します。

すべての AWS リソースのマルチアカウント環境であるランディングゾーンをセットアップできます。この環境には、組織および組織のエンティティが含まれています。この環境を使用して、すべての AWS アカウントでコンプライアンス規制を適用できます。

詳細については、AWS Control Tower ユーザーガイドの「AWS Control Tower の仕組み」および「AWS Organizations を通じたアカウントの管理」を参照してください。

controltower.amazonaws.com

あり

詳細はこちら

AWS Directory Service

AWS クラウドでディレクトリをセットアップして実行したり、AWS リソースを既存のオンプレミス Microsoft Active Directory に接続したりできます。

AWS Directory Service と AWS Organizations 統合して、リージョン内の複数のアカウントおよび任意の VPC 間でシームレスなディレクトリ共有を行うことができます。

ds.amazonaws.com

あり

詳細はこちら

AWS Firewall Manager

アカウントやアプリケーション間でウェブアプリケーションのファイアウォールルールを一元的に設定、管理します。

組織のアカウント間で AWS WAF ルールを一元的に設定および管理できます。

fms.amazonaws.com

あり

詳細はこちら

Amazon GuardDuty

組織内のすべてのアカウントに対して、GuardDuty を表示および管理するメンバーアカウントを指定できます。メンバーアカウントを追加すると、選択した AWS リージョンのそれらのアカウントに対して GuardDuty が自動的に有効になります。また、組織に追加された新しいアカウントに対して GuardDuty のアクティベーションを自動化することもできます。

詳細については、Amazon GuardDuty ユーザーガイドの「GuardDuty」および「Organizations」を参照してください。

guardduty.amazonaws.com
-

あり

詳細はこちら

AWS Identity and Access Management

AWS リソースへのアクセスを安全にコントロールします。

IAM のサービスの最終アクセス時間データを使用して、組織全体の AWS アクティビティについてより良く理解できます。このデータを使用して、組織のアカウントで使用している AWS のサービスのみにアクセスを制限するサービスコントロールポリシー (SCP) を作成および更新できます。

例については、IAM ユーザーガイドの「Using Data Organizational Unit」を参照してください。

IAM Access Analyzer

AWS 環境内のリソースベースのポリシーを分析して、信頼ゾーン外のプリンシパルへのアクセスを許可するポリシーを特定します。

IAM Access Analyzer の管理者としてメンバーアカウントを指定できます。

詳細については、IAM ユーザーガイド の「Access Analyzer の有効化」を参照してください。

access-analyzer.amazonaws.com

あり

詳細はこちら

あり

詳細はこちら

AWS License Manager

ソフトウェアライセンスをクラウドに移動するプロセスを効率化します。

組織全体でコンピューティングリソースのクロスアカウントの検出を有効にすることができます。

license-manager.amazonaws.com
license-manager.member-account.amazonaws.com.

あり

詳細はこちら

Amazon Macie: 機械学習を使用してビジネスクリティカルなコンテンツを検出および分類し、データのセキュリティとプライバシーの要件を満たすのに役立ちます。Amazon S3 に保存されているコンテンツを継続的に評価し、潜在的な問題についての通知を送信します。

組織内のすべてのアカウントに対して Amazon Macie を設定し、指定された Macie 管理者アカウントのすべてのアカウントにわたって、Amazon S3 のすべてのデータを一括表示することができます。組織の成長に合わせて新しいアカウントのリソースを自動的に保護するように Macie を設定できます。組織全体の S3 バケット間でポリシーの設定ミスを修正するよう求めるアラートが生成されます。

macie.amazonaws.com
-

あり

詳細はこちら

AWS RAM

自分が所有している AWS リソースを指定して、他のアカウントと共有します。

組織内で、追加の招待を交換することなくリソースを共有できます。共有できるリソースには、Route 53 リゾルバーのルール、オンデマンドキャパシティーの予約などがあります。

キャパシティー予約の共有については、Linux インスタンス用 Amazon EC2 ユーザーガイドまたは Windows インスタンスの Amazon EC2 ユーザーガイドを参照してください 。

共有可能なリソースのリストについては、AWS RAM ユーザーガイド の「共有可能なリソース」を参照してください。

ram.amazonaws.com

あり

詳細はこちら

AWS Service Catalog

AWS での使用が承認された IT サービスのカタログを作成および管理します。

ポートフォリオ ID を共有することなく、アカウント間でより簡単にポートフォリオの共有と製品のコピーができます。

servicecatalog.amazonaws.com

あり

詳細はこちら

あり

詳細はこちら

サービスクォータ

一元的な場所から、サービスクォータ (制限とも呼ばれます) を表示および管理します。

クォータリクエストテンプレートを作成して、組織のアカウントの作成時に自動的にクォータの引き上げをリクエストできます。

servicequotas.amazonaws.com

あり

詳細はこちら

AWS シングルサインオン

すべてのアカウントとクラウドアプリケーションに対してシングルサインオンサービスを提供します。

ユーザーは企業の認証情報を使用して AWS SSO ユーザーポータルにサインインし、割り当てられているマスターアカウントまたはメンバーアカウント内のリソースにアクセスできます。

sso.amazonaws.com

あり

詳細はこちら

AWS Systems Manager

AWS リソースの可視性と制御を可能にします。

Systems Manager Explorer を使用することにより、組織内のすべての AWS アカウント間でオペレーションデータを同期できます。

ssm.amazonaws.com

あり

詳細はこちら

あり

詳細はこちら

タグポリシー

組織のアカウント内のリソース間でタグを標準化するのに役立ちます。

タグポリシーを作成して特定のリソースのタグ付けルールを定義し、それらのポリシーを組織エンティティにアタッチできます。

タグポリシーの信頼済みアクセスを有効にする方法については、「タグポリシーと AWS Organizations」を参照してください。

tagpolicies.tag.amazonaws.com

あり

詳細はこちら

-