問題

　AWSアカウントを使用する多くの開発がいて、ユーザー用に新しいAWSアカウントが払い出され、組織のアカウントの下に追加され、請求及びその他サービスレベルポリシーが適用され管理される。

インスタンス消し忘れなど、アカウント統制のためにやるべきことは何？

用語

• サービスレベルポリシー
• ユーザーロール
• サービスコントロールポリシー(SCP)
• CloudTrail

まとめ

engineer.crowdworks.jp

RootのAWSアカウントがあり

• その下にOU(OrganizationUnit)がある。

• その下にはAWSアカウントやOU(再帰的)も紐づけることができる

• そのOUやAWSアカウントに対して、サービスコントロールポリシー(SCP)(EC2DeployDeny)とかをアタッチすることができる。

• 余談だが、踏み台アカウントから「PowerUserLoginRole」で子アカウントにログインした場合のみ、EC2の操作ができるなんぞの設定もできるらしい いわゆるスイッチロール的なもの(http://blog.serverworks.co.jp/tech/2019/03/26/organizations_update/)