組織間でのAWSアカウントの移行(AWS Control Tower シリーズ vol.4)
1.はじめに
SHIFTのナショナルセキュリティ事業部所属の松尾です。
本記事は、AWS Control Tower シリーズ vol.4となります。前回までの記事は以下をご参照ください。
本記事では、会社の組織間などでのAWSアカウント譲渡に伴う、AWSアカウント移行作業について解説します。AWS Control Towerでは、AWS Organaizations配下(マルチアカウント管理)にあるメンバーアカウントに対する内容となりますが、シングルアカウント管理からの移行方法についても記載します。
2.AWSアカウント移行作業
2-1.共通作業
AWSアカウント移行作業は、移行元または移行先でAWS Organazationsを利用している場合は作業量が増えます。まずは、AWS Organaizationsの利用によらず、必要な作業(共通)は以下となります。
(※1)(1)AWSアカウント設定など、譲渡先がマネジメントコンソールにログイン可能となるような準備
(2)住所や連絡先などAWSアカウント情報の変更
(3)クレジットカードや支払方法の変更
【注意事項】
① 移行元、移行先のいずれかがAWS Solution Providerまたはdistributerに該当する場合は、パートナー専用窓口(パートナーセントラル)からの手続きが必要。
② 移行元でEnterpriseサポート、移行先がBusinessサポート以下の場合、譲渡先でサポート契約の手続きが必要。
2-2.AWS Organaizationsのメンバーアカウントの場合
AWSアカウントの移行元または移行先がAWS Organizationsのメンバーアカウントに該当する場合、以下の注意事項と検討事項を考慮する必要があります。
【注意事項】
① 移行元のマスタアカウントに連結されていた期間の請求情報がマネジメントコンソールから閲覧不可となる。
② 移行元のマスタアカウントに連結されていた期間のAWS Cost Explorerのデータが確認不可となる。
③ AWS Organaizationsで、月単位で請求先を切り替えたい場合、毎月1日の日本時間9:00~10:00の間に一括請求の切替作業が必要となる。(※2)
(※2)"アカウント・請求関連のご質問 - Q. AWS Organizations でメンバーアカウントを組織から削除した場合、どのアカウントに請求が発生しますか?(AWS)"
・AWS Organaizationsの連結から外れ、シングルアカウントになっている状態で毎時「00分」をまたいだ場合、当該AWSアカウントに対して請求が発生する。
・リザーブドインスタンスやSaving Plansの月額料金、およびサポート料金は秒単位で課金されるため、毎時「00分」をまたいでいない場合でも当該AWSアカウントに対して請求が発生する場合がある。
・切替作業の進捗により、移行元または移行先のAWSアカウントのいずれかに切替作業1時間分の請求が発生する可能性がある。
・対応案は下図を参照。
"【出典】AWS Organizations のメンバーアカウントを他の組織へ移行する: Part 1-「Organizations の組織間で AWS アカウントを移行する前に」(AWS)を一部改編"
【補足事項】AWS Organaizationsで利用可能なAWSサービス
AWS Organaizationsで使用できるAWSサービスは以下があり、AWSアカウントの移行元では離脱によるアカウントへの影響、移行先では機能を引き継ぐために該当サービスでAWS Organaizationsとの紐づけの再設定をする必要があるかなど調査しておく必要があります。しっかり、AWS Control Towerも入っています。
"【出典】AWS Organizations のメンバーアカウントを他の組織へ移行する: Part 1-「Organizations の組織間で AWS アカウントを移行する前に」(AWS)を一部改編"
3.考察(AWSアカウント移行の段取り)
AWSアカウントの移行作業で考慮すべき事項は既述のとおりですが、実際に移行元の一方的な意向により、すぐ移行作業というわけにはいきません。というのも、企業では一般的に、組織間では組織管理者(システムオーナーなど)が異なるため、移行元・移行先の組織管理者が互いに作業内容(サービスのダウンタイムの影響など)について合意した上で移行作業を実施する必要があります。
下記に、AWS移行作業までの段取りの一例を挙げます。
3-1.アセスメント
移行元、移行先ににおける組織の管理者(もしくはdistributer)と移行に関してすり合わせる。社内規定で、AWSアカウント移行に関するポリシー(守るべき手順・ガイドライン)を策定している場合は、その手順に沿って実施する。
ポリシー(IAM、SCPなど)や移行されたサービスなど、組織に関する差異を洗い出す。当差異の洗い出しの際は、移行元および移行先の組織管理者との協力が必要。
前項で抽出した、組織に関する差異の対応方針を策定する。
3-2.AWSアカウント移行作業の事前手続き
移行先で、組織上の事前手続き(社内稟議など)が必要な場合、移行先の組織管理者が当対応を実施する。
3-3.AWSアカウント移行作業
アカウント移行および移行後作業を実施する。組織間で、組織に関する差異が多い場合は、サービスレベル合意された相応のサービスのダウンタイム・稼働を維持しながら順次移行作業を実施する。
次回予告
次回(AWS Control Tower シリーズ vol.5)は、IAM Identity Centerについて解説しつつ、人事情報の取扱いについて考察してみます。
執筆者プロフィール:松尾光敏
過去にアプリケーション開発・基盤構築を経て、いまはコンサルとしてメインクライアントの官公庁案件のほか、社内AWS CCoEに関わっています。最近は週末に、コンサルのための体力づくりと歳による体力低下を補うために趣味のサイクリングを再開しました。
■保有資格
・AWS認定全冠(2023/2024 Japan AWS All Certifications Engineers)
・Azure Solutions Architect Expert
・Google Cloud Professional Cloud Architect
・CISSP
・CISA
・PMP
お問合せはお気軽に
SHIFTについて(コーポレートサイト)
SHIFTのサービスについて(サービスサイト)
SHIFTの導入事例
お役立ち資料はこちら
SHIFTの採用情報はこちら