AWS 環境をより効果的に制御するために、AWS Organizations を使用して、アカウントのグループを作成し、カスタムスクリプトや手動プロセスなしでも正しいポリシーがアカウント全体に適用されるようにグループにポリシーを適用できます。

AWS Organizations では、アカウントに許可するサービスとアクションを制限できます。サービスコントロールポリシー (SCP) を使用すると、AWS Identity and Access Management (IAM) のユーザーとロールにアクセス許可ガードレールを適用できます。たとえば、明示的に許可されていないリージョンのリソースを、組織内のアカウントのユーザーが起動できないように制限する SCP を適用できます。

AWS Organizations があると、AWS アカウントの作成と管理を自動化することにより、IT の運用を簡素化できます。API を使用して、プログラムで新しいアカウントを作成し、作成されたアカウントをグループに追加できます。グループにアタッチされたポリシーは、自動的に新しいアカウントに適用されます。たとえば、ワークロードやアプリケーション隔離のための新しいアカウントの作成を自動化し、アカウント内のエンティティに、必要とされる AWS のサービスにのみアクセスする権限を付与できます。

AWS Organizations があると、組織内のアカウント間で AWS のサービスと共有リソースを設定できます。たとえば、Organizations を AWS Single Sign-on と統合することにより、組織内のアカウントへのアクセス権をすべての開発者に 1 か所からプロビジョニングできます。アクセス許可への変更を一元的に行い、組織内のアカウントの許可を自動的に更新できます。

AWS Organizations を使用すると、一括請求 (コンソリデーティッドビリング) を使用して、組織内のすべての AWS アカウントに対して単一の支払い方法を設定できます。一括請求 (コンソリデーティッドビリング) を使用すると、すべてのアカウントで発生した料金をまとめて確認できるだけでなく、それぞれのアカウントのサービス使用量を集約し、Amazon EC2 や Amazon S3 の従量制割引などの料金面の恩恵を受けることができます。

AWS Organizations を使用して、サービスコントロールポリシー (SCP) のアクセス許可ガードレールを実装し、アカウントのユーザーが、会社のセキュリティやコンプライアンスのポリシーの要件を満たすアクションのみを実行できるようにします。さらに、AWS CloudTrail を使用して組織全体で実行されたすべてのアクションの一元的なログを設定し、AWS Config を使用して定義したルールに関するデータを一元的に集計できます。そうすることにより、環境のコンプライアンスを監査し、変化に迅速に対応できます。

AWS Organizations があると、一元型の重要なリソースをアカウント間で簡単に共有できます。たとえば、一元型の AWS Directory Service Managed Active Directory を組織内のすべてのアカウントと共有すれば、アプリケーションから一元型の ID ストアにアクセスできるようになります。さらに、AWS Resource Access Manager を使用して一元的に定義し、組織全体で共有すれば、アカウント全体のアプリケーションリソースが AWS Virtual Private Cloud (VPC) サブネットで作成されるようになります。

AWS Organizations を使用すると、新しいワークロードを迅速に開始しなければならないときに、新しい AWS アカウントの作成を自動化できます。これらの新しいアカウントを組織のユーザー定義グループに追加すれば、分類が簡単になります。たとえば、開発アカウントと本番稼働用アカウントを分類するために個別のグループを作成し、本番稼働用ワークロードに必要な AWS サービスへのアクセスのみを許可するサービスコントロールポリシー (SCP) を本番稼働用グループに適用できます。