COST02-BP03 アカウント構造を実装する

組織にマッピングされるアカウントの構造を実装します。これは、組織全体でのコストの割り当てと管理に役立ちます。

このベストプラクティスを活用しない場合のリスクレベル: 高

実装のガイダンス

AWS Organizations では、 でワークロードをスケーリングする際に環境を一元管理 AWS アカウント できる複数の を作成できます AWS。組織単位 (OU) 構造 AWS アカウント でグループ化し、各 OU AWS アカウント の下に複数の を作成することで、組織階層をモデル化できます。アカウント構造を作成するには、まず、どの AWS アカウント を管理アカウントにするかを決定する必要があります。その後、管理アカウントのベストプラクティス とメンバーアカウントのベストプラクティス に従って、設計したアカウント構造に基づいて、メンバーアカウントとして新しいアカウントを作成 AWS アカウント したり、既存のアカウントを選択したりできます。

組織の規模や使用状況にかかわらず、少なくとも 1 つの管理アカウントとそれに紐づく 1 つのメンバーアカウントを常に持つことをお勧めします。すべてのワークロードリソースはメンバーアカウント内にのみ存在する必要があります。管理アカウントにはリソースを作成しないでください。 AWS アカウント 必要な数に対するすべての回答に合うサイズは 1 つもありません。現在および将来の運用モデルとコストモデルを評価し、 の構造が組織の目標 AWS アカウント を反映していることを確認します。一部の企業は、 AWS アカウント ビジネス上の理由で複数の を作成します。例えば、

• 組織単位、コストセンター、特定のワークロード間で、管理、会計、請求の職務機能を切り離す必要がある場合。

• AWS サービス制限は、特定のワークロードに固有のように設定されています。

• ワークロードとリソース間の隔離と分離には要件があります。

AWS Organizations 内では、一括請求により、1 つ以上のメンバーアカウントと管理アカウントとの間に構造が作成されます。メンバーアカウントを使用すると、コストと使用量をグループ別に分離し、区別できます。一般的には、各組織単位 (財務、マーケティング、営業など)、各環境ライフサイクル (開発、テスト、本番など)、各ワークロード (ワークロード a、b、c) にメンバーアカウントをいったん分離したうえで、一括請求を使用してこれらの連結アカウントを集約します。

一括請求機能により、複数のメンバー AWS アカウント の支払いを単一の管理アカウントにまとめつつ、リンクされた各アカウントのアクティビティを可視化することができます。コストと使用量が管理アカウントに集計されると、サービスの従量制割引とコミットメント割引 (Savings Plans とリザーブドインスタンス) を最大限に活用し、割引額を最大化できます。

次の図は、組織単位 (OU) AWS Organizations で を使用して複数のアカウントをグループ化し、各 OU AWS アカウント の下に複数の を配置する方法を示しています。アカウントを整理するためのパターンを提供するさまざまなユースケースやワークロードOUsで を使用することをお勧めします。

組織単位 AWS アカウント の下に複数の をグループ化する例。

AWS Control Tower は、複数の AWS アカウントをすばやく設定および設定できるため、ガバナンスが組織の要件と整合性が取れます。

実装手順

• 分離要件を定義する: 分離の要件は、セキュリティ、信頼性、財務構造など、複数の要因の組み合わせです。各要因を順番に確認し、ワークロードまたはワークロード環境を他のワークロードから分離するかどうかを指定します。セキュリティは、アクセス要件とデータ要件への準拠を促進します。信頼性は、環境やワークロードが他の環境に影響を与えないように制限を管理します。Well-Architected フレームワークのセキュリティと信頼性の柱を定期的に見直し、提供されるベストプラクティスに従います。財務構造により、厳格な財務分離 (異なるコストセンター、ワークロードのオーナーシップ、説明責任) が実現します。分離の一般的な例としては、実稼働ワークロードとテストワークロードを別々のアカウントで実行することや、組織内の個々の事業部門や部署、またはアカウントを所有する関係者に請求書と請求データを提供できるように別のアカウントを使用することなどが挙げられます。

• グループ化要件を定義する: グループ化要件は分離要件を上書きしませんが、管理を支援するために使用されます。分離を必要としない同様の環境またはワークロードをグループ化します。例として、1 つ以上のワークロードから複数のテスト環境または開発環境をグループ化することが挙げられます。

• アカウント構造を定義する: これらの分離およびグループ化を使用して、各グループのアカウントを指定し、分離要件が維持されるようにします。これらのアカウントは、メンバーアカウントまたは連結アカウントです。これらのメンバーアカウントを単一の管理アカウントまたは支払者アカウントでグループ化することで使用量が合算されるため、すべてのアカウントでの従量制割引がより大きくなり、すべてのアカウントに対して単一の請求書が発行されます。請求データを分離し、各メンバーアカウントに請求データの個別のビューを表示することができます。メンバーアカウントが他のアカウントで使用データや請求データを表示できない場合、または から別の請求 AWS が必要な場合は、複数の管理アカウントまたは支払者アカウントを定義します。この場合、各メンバーアカウントは独自の管理アカウントまたは支払者アカウントを持つことになります。リソースは常にメンバーアカウントまたは連結アカウントに配置する必要があります。管理アカウントまたは支払者アカウントは、管理のためにのみ使用してください。

リソース

関連ドキュメント:

• コスト配分タグの使用

• ジョブ機能のAWS 管理ポリシー

• AWS 複数アカウントの請求戦略

• IAMポリシー AWS リージョン を使用して へのアクセスを制御する

• AWS Control Tower

• AWS Organizations

• 管理アカウントとメンバーアカウントのベストプラクティス

• 複数のアカウントを使用して AWS 環境を整理する

• 共有リザーブドインスタンスと Savings Plans の割引の有効化

• 一括請求

• 一括請求

関連する例:

• CURと共有アクセスの分割

関連動画:

• の紹介 AWS Organizations

• のベストプラクティスを使用するマルチアカウント AWS 環境を設定する AWS Organizations

関連する例:

• Well-Architected Labs: AWS 組織の作成 (レベル 100)

• AWS Cost and Usage Report と共有アクセスの分割

• 通信会社の AWS マルチアカウント戦略の定義

• 最適化のベストプラクティス AWS アカウント

• を使用した組織単位のベストプラクティス AWS Organizations