ITインフラストラクチャの運用にパブリッククラウドを利用する企業が増加するなか、パブリッククラウド環境を管理することが、課題になりつつあります。たとえばAWSを見てみると、ベストプラクティスに、AWSアカウントを使用してワークロードを分離し、セキュリティの境界を作るということがあります。複数のAWSアカウントを使用することで、基本的に、アクセスポリシーやユーザーアカウント、ストレージ環境がそれぞれ異なる環境を個々に作成しています。この手法は、セキュリティやその他の側面に大きなメリットをもたらしますが、これらのアカウント全てを管理したいと考えている組織にとっては頭痛の種となることは確かです。個々のそれぞれのアカウントの請求の管理であれ、標準のセキュリティポリシーを適用することであれ、このようなアカウントの増加は、企業や組織にとって大きな問題となっています。
では、この例として、Veeam社内の事例を見てみましょう。Veeamの製品戦略グループの一員として、ベストプラクティスやアーキテクチャの推奨事項の策定にあたり、私やチームメイトは、製品のテストやお客様および開発チームとの連携にかなりの時間を費やしています。このチームのメンバー全員が、AWSアカウントを持っている、または持っていたことがあります。これ自体は問題ではありませんが、請求に関する部分が問題でした。チームメンバー全員、それぞれのAWSアカウントで費用が発生している状況を想像してみてください。メンバーの数は15人。つまり、マネージャーは15人分の経費報告書を承認しなければなりません。そのうえ、一元管理するシステムもないため、マネージャーは、グループのひと月あたりの経費を把握するのに、個別の経費報告書を全て集める必要もあります。この状況を表しているのが以下の図です。誰にとっても、理想的な時間の使い方とは言えません。
AWS Organizations
さて、このシナリオの場合、AWSには「AWS Organizations」という機能があります。AWSでは、この機能を次のように説明しています。
「AWS Organizationsは、AWSリソースの増加やスケーリングに合わせて、環境を一元的に管理し、統制するのに役立ちます。AWS Organizationsを使って、プログラムから新しいAWSアカウントを作成しリソースを割り当てたり、アカウントをグループ化してワークフローを整理したり、ガバナンスのためにアカウントまたはグループにポリシーを適用したり、すべてのアカウントに単一の支払い方法を利用することで請求を簡素化したりできるようになります。」
この特定のユースケースで注目したいのは、「すべてのアカウントに単一の支払い方法を利用することで請求を簡素化する」という点です。これによって、アカウントを1つ作成するだけで個々のアカウントの請求を全て管理することができるほか、新たにチームに加入するメンバーについても、クレジットカードや経費のポリシーについて心配させることなく、アカウントを新規作成することができます。
この一元的な請求アカウントにおいて、AWS Organizationsを使用して、これらのアカウントを全て管理できるようになりました。既存のAWSアカウントを追加するにせよ、新規アカウントを作成するにせよ、全てを一元的に管理することが可能です。
一元管理アカウントの作成とAWS Organizationsのセットアップが完了したら、バッジをグローバルに適用したり、ポリシーを定義したり、さらには特定のサービスへのアクセスを制限したりといったことが可能になります。今回のユースケースで実現したかったのは、一括請求でした。
一括請求
一括請求機能では、個々のアカウントで発生している費用を管理・監視することができます。今回のユースケースでは経費を一元的に管理したいので、この機能は特に有用です。
スクリーンショットからも分かるように、個々のチームメンバーの経費をまとめたい場合、個々のアカウントの経費を調査できるということは、特に役に立ちます。
まとめ
個々のユーザーに対して使用する、様々な環境に対して使用する(本番環境や開発のテスト環境など)、データを保護する特定のセキュリティ境界として使用する、といったアカウントの用途に関係なく、AWS Organizationsなら、複数のAWSアカウントをパワフルな方法で管理することができます。より複雑なAWS環境に必要な管理機能が、AWS Organizationsにはあります。
その他の参考資料
- Veeam Backup for AWSの詳細
- 組織のデータ保護にVeeamとAWSがどのように役立つかについては、ebook『Choose Your Own Cloud Adventure』をご覧ください