この記事でわかること
- AWS Organizationsによる「運用管理」の効率化と統制:開発・本番環境の確実な分離や権限の委譲を行い、セキュリティを保ちながら複数のアカウントを階層構造で効率的に運用するメリットがわかります。
- AWS Billing Transferによる「請求管理」の制約解消:Organizationsの全機能を自社で管理・使用しながら、請求情報のみをパートナーへ転送できる新機能を解説。商流変更や組織改編時の課題を解決する手法がわかります。
AWSをビジネスで利用する際、避けて通れないのが「アカウント管理」と「請求」の設計です。
本記事では、AWS運用のベストプラクティスである「マルチアカウント環境」の重要性を改めて整理するとともに、複雑な運用課題を解消する「AWS Organizations」の役割について解説します。
さらに、これまでの再販モデルにあった「管理権限の制約」という壁を打ち破る最新機能、「AWS Billing Transfer」が、どのようにお客様の運用負荷を軽減し、自由な管理と柔軟な請求を両立させるのか、その最適解をご紹介します。
AWSにおける「アカウント」とは
AWSのアカウントは一般的なユーザーアカウントとは異なります。
単なる「利用者」を指すのではなく、「独立した環境そのもの」を意味します。
すべてのリソースと請求情報は、このアカウント単位で管理されます。
そもそも「Account」という英単語には、ビジネスにおける「金銭の収支記録(勘定)」という意味があり、AWSアカウントもその意味に近い一面があります。
また、アカウントは独立した「セキュリティ境界」としても機能します。
このアカウント作成時のメールアドレスでログインすることは、一般に「ルートユーザーでのログイン」と呼ばれます。
ルートユーザーは全ての権限を持つため、セキュリティ上のリスクがあります。
そのため、日常的な作業には「IAMユーザー」を作成し、適切な権限を割り当てて利用することが強く推奨されています。
マルチアカウント環境の必要性
前述の通り、AWSアカウントは「環境そのもの」であり「セキュリティ境界」でもあります。
そのため、すべてのリソースを単一のアカウントに集約してしまうと、セキュリティ設計が複雑化し、運用リスクが高まる原因となります。
そこで推奨されるのが、プロジェクトや部門、あるいは開発・テスト・本番といった用途ごとに複数のアカウントを切り分けて管理する「マルチアカウント環境」です。
たとえば、あるAWSをプラットフォームとしたWebサービスを開発するとします。
その際に本番環境と開発環境はほぼ同一の内容でありつつも、事故やミスを防ぐために「お互いが完全に独立した環境」であることが望ましいでしょう。
このような場面で、本番用と開発用でそれぞれ個別のアカウントを作成・運用することが、AWSにおけるベストプラクティスとされています。
複数アカウント運用の「課題」を解決する AWS Organizations
複数のアカウントを運用する際、開発者としては「同じユーザー情報で各環境にログインしたい」という利便性を求め、管理者は「請求情報は一元化しつつ、内訳は環境ごとに把握したい」と考えるのが自然です。
こうした複数のアカウントを、階層構造で効率的に運用できるサービスが AWS Organizations です。
マルチアカウント環境の4つのメリット
AWS Organizationsを使ったマルチアカウントのメリットは大きく分けて4つあります。
1. 環境を分離しやすい
開発環境、本番環境、テスト環境などAWS上に複数の環境を構築したいときはAWS Organizationsを使用してアカウント毎に環境を作るのがおすすめです。
アカウントを分けることで、セキュリティ基準やガバナンス、各種法規制への対応が格段に容易になります。
同一アカウント内でもネットワーク(VPC等)で環境を分けることは可能ですが、設定が複雑になりやすく、管理ミスを誘発するリスクが高まります。
2. 請求を分離、管理しやすい
請求はアカウントごとに集計されるため、コストの帰属が明確になり管理が容易になります。
AWS Organizationsを活用すれば、アカウント別に利用料金を把握しつつ、支払いを一括で管理することも可能です。
権限の委譲
アカウントを分けることで、事前に定義されたガバナンスフレームワークの中で特定のビジネス部門に対する権限の委譲を行うことできます。
これにより、各部門の意思決定のスピードを損なうことなく、統制を効かせることが可能です。
ワークロードを明確に分離できる
社内システムと外部向けサービス、あるいはデータの機密性や顧客ごとにアカウントを分離することで、各ワークロード(業務負荷)を独立させて管理できます。
これにより、万が一の障害や設定変更時の影響範囲を最小限に留めることができます。
マルチアカウントがおすすめのお客様
マルチアカウントは、これまでAWSを幅広くさまざまな業務に使用しているエンタープライズ企業を中心に採用されてきましたが、それ以外の企業様でも以下のようなケースでは導入が非常に効果的です。
導入をご検討の際には、ぜひTD SYNNEXへご相談ください。
権限などのセキュリティを高い水準で管理したいお客様
各省庁や自治体、医療機関など、その業務の性質上、高いセキュリティが求められ、情報漏洩の影響がより大きいお客様は、ぜひマルチアカウント環境の導入をご検討ください。マルチアカウントにすることで、法規制への対応も行いやすくなります。
社外に対してサービスを提供しているお客様
ISV(独立系ソフトウェアベンダー)など、顧客に対してAWS上でサービスを提供している、あるいは検討されているお客様にもマルチアカウントは強くお勧めします。
開発・テスト・本番の各環境をアカウント単位で分割し、境界を作成することで、セキュリティレベルが大幅に向上します。
シングルアカウントでの管理が煩雑になってきたお客様
シングルアカウントでも、これまで挙げたことの多くは実現可能です。しかし、環境を作り込んでいくほど設定は複雑化し、管理が困難になっていきます。AWS環境の管理でお悩みの場合も、マルチアカウント環境への移行が解決策となります。
パートナー再販のアカウントモデル
AWS Organizationsが活用されている領域は幅広く、AWS再販の仕組みである「アカウントモデル」もその一つです。
パートナーはこのモデルと自社の独自サービスを組み合わせる形で、エンドユーザー様へAWSを提供しています。
アカウントモデルには ECAM(End Customer Account Model)と、DAM(Distributor Account Model)/ SPAM(Solution Provider Account Model)の2種類があります。
どちらも、ディストリビューターやソリューションプロバイダーが管理する「プログラム管理アカウント(PMA)」がAWS Organizationsの管理アカウントとなり、AWS社からの請求もこのPMA宛てに実施されます。
ECAM (End Customer Account Model)
ECAMはAWS Organizationsの各メンバーアカウントをエンドユーザー様に提供するモデルです。
アカウントそのものを提供できるため、エンドユーザー様の自由度が比較的高いのが特徴です。
ディストリビューターやソリューションプロバイダーは請求代行業務がメインとなります。
DAM / SPAM (Distributor Account Model / Solution Provider Account Model)
ディストリビューターの場合はDAM、ソリューションプロバイダーの場合はSPAMとと呼びます。
このアカウントモデルは、すべてのAWSアカウントをディストリビューター/ソリューションプロバイダー側が管理・運営し、エンドユーザー様にはIAMユーザーのみを提供します。
エンドユーザー様はディストリビューター/ソリューションプロバイダーとの契約になるため、AWS社と直接契約できない場合や、パートナーが管理するフルマネージドサービスを利用できる点がメリットとなります。一方で、エンドユーザー様の自由度は制限されます。
マルチアカウントにおけるECAMとDAM (SPAM) の違い
ECAMとDAM(SPAM)の主な違いをまとめると、以下の通りとなります。
| 項目 | ECAM | DAM (SPAM) |
|---|---|---|
| AWS Organizations 管理アカウントの管理 | AWSパートナー | AWSパートナー |
| メンバーアカウントの管理 | エンドユーザー様 | AWSパートナー |
| 請求/支払 | AWSパートナー経由 | AWSパートナー経由 |
| 契約形態 | AWSおよびAWSパートナーと締結 | AWSパートナーと締結 |
マルチアカウント運用の「制約」を解消するAWS Billing Transfer
パートナー経由でAWSを利用する場合、これまではパートナーが提供するAWS Organizationsの枠組み(ECAMやDAM)を利用せざるを得ませんでした。
そのため、マルチアカウント運用自体は可能でも、「エンドユーザー側でOrganizationsの全機能を自由にコントロールできない」といった制約があり、一筋縄ではいかない面があったのです。
特に「Organizationsの管理アカウント」はパートナー側が持つ必要があり、お客様の自由度には限界がありました。
ですが、新サービス AWS Billing Transfer の登場によって、この状況が一変しました。
TD SYNNEXはこのAWS Billing Transferにいち早く対応しており、すでに多くのお客様の課題解決を支援できる体制を整えています。
■AWS Billing Transfer 公式ドキュメント
https://aws.amazon.com/jp/aws-cost-management/aws-billing-transfer/
Billing Transfer の活用例
Billing Transferは、これまでAWS直販でAWS Organizationsを使用してきたお客様の「パートナーへの商流変更」を容易にします。
また、エンタープライズ企業のM&Aや部門統合といった組織改編の際、請求のみを特定アカウントへ集約したいケースにも最適です。
「複数のOrganizationsが存在するが、請求は一つにまとめたい」といったニーズへの強力なソリューションとなります。
さらに、労働可能人口の減少に伴う地方自治体の統廃合においても、Billing Transferを活用することで、迅速かつスムーズな請求先の変更が実現可能です。
AWSの最適な運用は、お気軽にTD SYNNEXへご相談ください
TD SYNNEXは、世界複数の国でAWS社から表彰されているディストリビューターです。
「AWS Billing Transfer」をはじめとする最新サービスにも、グローバルネットワークを活かしていち早く対応しており、現場で役立つ多岐にわたるナレッジを保有しています。
「自社に最適な管理モデルを知りたい」というエンドユーザー様も、「AWSの再販ビジネスを強化したい」という販売店様も、まずはお気軽にTD SYNNEXへお問い合わせください。
最新の技術と知見をもって、お客様のビジネスに最適なAWS環境の構築をサポートいたします。
