なさん、こんにちは。サニービュー事業部の小寺です。

Sunny Cloudでは、AWS Organizationsをご活用いただいているお客さまからのお問い合わせが増えてきているので、どのようにOrganizationsを活用をいただいているのか?
また、AWS Organizationsを活用されている環境で、Sunny Cloudが提供するAWSリセールサービス Sunny Payに加入いただけるのか?よくあるご質問について、お答えしたいと思います。

まずは、Sunny Payって?どのようなサービスなのか、以下の動画をご参照ください。

AWSリセールサービスで使っているOrganizationsの仕組み

AWSリセールサービス Sunny Payでは、Sunny Cloudが保有する管理アカウント(マスターアカウントと呼ばれることもあります)にお客さまのAWSアカウントを紐づけをしています。

そして、管理アカウントがお客さまのAWSアカウントの代わりに支払いを行い、Sunny Cloud(株式会社アイディーエス)からお客さまへ請求書を発行して、お支払いいただく仕組みです。

基本的には管理アカウントの一括支払い機能をONにして、その他のOrganizationsの機能はご利用いただけないサービスとなっています。

よくあるOrganizationsのお問い合わせ

現状、AWS Organizationsを利用していて、特に支払いをまとめるために使っているだけなので、今後は利用しなくても問題ないというお客さまもいらっしゃいます。

そのような場合、今使っている、AWS Organizaionsからどのように、Sunny CloudのAWS Organizationsの管理アカウントに紐づけがされるのでしょうか。

まずは、お客さまが支払いをまとめている管理アカウント(管理アカウント)の組織に所属するAWSアカウント(子アカウント)は組織を離れて、シングルアカウントとしてどこの組織にも所属しない状態とする必要があります。

少し気を付ける必要があるのが、AWS OrganizationsからAWSアカウントを作成していた場合です。
AWS OrganizationsからAWSアカウントを作成していると、クレジットカードの登録や、アカウント情報の登録がないため「組織から離れる」操作を行った際にエラーになることがあります。

無事に「組織から離れる」ことができた後は、Sunny Cloudの組織に招待を行います。お客さま側で招待を承諾いただくと、Sunny CloudのAWS Organizationsの管理アカウントに紐づけが完了となります。

最後に管理アカウントでもAWSサービスをご利用になっていて、Sunny Payをご利用いただきたい場合、まずは、今までお使いになっていた「組織」を削除いただきます。前提条件として、管理アカウントの組織にはAWSアカウント(子アカウント)が全てない状態となっていることが必要です。

詳細な手順については、こちらをご確認ください。

AWS Control Towerを使いたい

まずAWS Control Towerの概要についてお伝えします。
AWS Control Tower は、安全なマルチアカウント AWS 環境をセットアップおよび管理するためのサービスです。

以下の特徴があります。
・新しい AWS 環境をすばやくセットアップし設定する
わずか数回のクリックで、マルチアカウントの AWS 環境のセットアップを自動化することができます。この自動化に、ログ監査の設定などの設定を行うことができます。

・継続的なポリシー管理を自動化
AWS Control Tower はガードレールと呼ばれる必須の、強く推奨されている高レベルルールを提供し、これがサービスコントロールポリシー (SCP) を使用して、ポリシーの適用の確実性を高めます。AWS Configのルールを使えば、ポリシー違反の検出も行うことができます。

・AWS 環境のポリシーレベルの概要を見る
AWS Control Tower では統合ダッシュボードが提供されます。
ダッシュボードを利用することにより、アカウントの詳細やどのガードレールが有効か等を確認することができます。

Sunny PayでもAWS Control Towerを使いたいというご要望をいただくことが多くなりました。Sunny Payをご利用いただくにあたり、いくつか注意点があるのでここでお伝えいたします。

一つは「AWS Control Tower へのアクセス」です。
Sunny Payは「エンドカスタマーアカウントモデル (ECAM) 」と呼ばれる、AWSアカウントの所有権はお客さまにあるアカウントモデルを採用したリセールサービスを提供しています。

これは、Sunny Cloudとお客さまの両方が管理アカウントにアクセスする必要があるということを意味します。Sunny Cloudは請求のためのアクセス権を必要とし、お客さまは AWS Control Tower を管理するためのアクセス権を必要とします。

最初は限られたIAMアカウントに管理者権限をつけて、AWS Control Tower をデプロイすることができます。Sunny Cloudでは、お客さまが AWS Control Tower を管理するために必要最小限にアクセスを制限できます。

次の注意点は「新しいアカウントの追加」です。
管理アカウント (Management Account) の所有者はSunny Cloudであるため、AWS Control Tower Account Factory (または AWS Service Catalog) を介して新しいアカウントが作成されると、Sunny Cloudではそのアカウントを管理します。また、お客さまは、新しいスタンドアロンアカウントを作成して、AWS Control Tower に登録することもできます。

いかがでしたでしょうか。AWS Control Towerに関連する記事は以下からご確認いただけます。