AWSの薄い本8 AWS Organizationsと愉快な仲間たち
Physical (worldwide shipping)
- 【物理本+ダウンロード版】Physical (via warehouse)1,500 JPY
Physical (ship to Japan)/ Digital Download
- 【物理本+ダウンロード版】Physical (via warehouse)1,500 JPY
- 【ダウンロード版】Digital1,500 JPY
「SCPとIdentity Centerは、結局どっちを整備すれば良いのか」 「Security Hubを有効化したのに、なぜ現場は整理できないのか」 「Control Towerを入れれば、全部解決するんじゃないのか」 AWSを複数のアカウントで運用している現場で、こういう問いを一度でも抱いたことがあるなら、本書はあなたのための本です。 本書は、AWS Organizationsを中心に「マルチアカウント時代のAWSを、組織としてどう運用するか」を整理した設計思想の本です。設定手順書ではなく、設定の前に持っておくべき判断軸を渡すことを目的にしています。
本書のスタンス
Organizationsは、単なるアカウント管理の便利機能ではありません。本書はOrganizationsを「組織の責任分界を技術で実装する設計の骨組み」として捉え直します。 多くの現場で起きているのは、個々のサービスは知っているのに、全体像がつながっていないという状態です。Identity Center、SCP、Config、GuardDuty、Security Hub、Control Tower。それぞれを「点」として理解していても、Organizationsという骨組みの上で役割分担されているという「線」が見えないと、設定は積み上がるのに統制は回らない、というよくある事態に陥ります。 本書が目指すのは、読み終えたときに「これで全体像が初めてつながった」と感じてもらうことです。
全9章でつなぐ「点から線へ」
第1章 なぜAWS Organizationsが肝になるのか Organizationsをアカウント管理ではなく「組織設計の骨組み」として見直します。 第2章 組織としてAWSを管理するとは何か 技術の話を「誰が何を持つか」という組織運営の話へ接続します。情シス集中でも現場放任でもない、第三の道を描きます。 第3章 アカウント分割とOU設計の原則 アカウントを分ける意味、OUを切る意味を、境界設計・責任分離・監査容易性の観点から整理します。 第4章 IAM Identity Centerで権限をどう渡すか IAMユーザー中心の限界、Permission Setを職務別に設計する考え方、外部IdP連携の設計判断までを扱います。全面移行せず段階的に寄せる3つのパターンも紹介します。 第5章 AWS Organizationsのポリシーで統制を設計する SCPに加え、RCP・宣言型ポリシー・Tag Policies・Backup Policiesを含めた全体像を整理します。「SCPで全部やろうとして破綻する」という典型パターンを避ける、役割分担の設計思想を示します。 第6章 セキュリティサービスを「入れる」だけでは回らない CloudTrail・Config・GuardDuty・Security Hubは、有効化した瞬間から機能するものではありません。集約先・担当者・運用フローが揃ってはじめて統制として回り始める、という実務の現実を描きます。 第7章 管理アカウントに集めすぎないための設計 「管理アカウントに全部集めれば楽」という発想が、どう組織を壊すのか。委任管理による権限分散と、Log Archive・Auditといった専用アカウントへの役割分離を扱います。 第8章 コストを組織として管理する Savings Plansの2層購入設計、タグとアカウント境界の使い分け、Budgets・Cost Anomaly Detectionによる検知と是正の設計。「分割はコストを増やすのではなく、変動を吸収する」という発想を中心に据えています。 第9章 AWS Control Towerと現実的な導入順序 Control Towerを「答え」ではなく「選択肢の一つ」として位置づけ直します。新規構築と既存環境整備の違い、Landing Zoneの登録とControls-dedicated experience(2025年に追加された新しい使い方)、そして「何から手をつけるか」の判断軸までを描きます。
こんな方に読んでほしい
・情シス、CCoE、基盤チーム、セキュリティ担当の方 ・アカウント数が増えてきたが、全体設計が追いついていない組織にいる方 ・「まだそこまで手が回っていない」という現場の方 ・前著『IAMのマニアックな話』『アカウントセキュリティのベーシックセオリー』を読んで、マルチアカウント編を待っていた方 本書は、整理が難しい現場を責める本ではありません。むしろ、そうした現場の方にこそ、全体像を持つことで次の一手が見えやすくなる、という考えで書いています。
本書の立ち位置
シリーズとしては、IAMそのものを掘り下げた『AWSの薄い本 IAMのマニアックな話』、単一アカウントのセキュリティ設計を扱った『AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー』の流れを受ける「マルチアカウントと統制編」です。前著と合わせて読むと理解が立体化しますが、本書単独でも読めるように構成しています。
最後に
本書を通じて繰り返し伝えたいことは、一つだけです。 設計思想が先で、製品選定は後。 Organizationsを中心に据えた設計思想を持つことで、各サービスが「組織統制の部品」として機能し始めます。設定は終わっても、設計は終わりません。それは困ったことではなく、AWSを使いながら組織が育っていくということです。 アカウントを管理するのではなく、組織を設計する。 その一歩を踏み出すための地図として、本書を手に取ってもらえたら嬉しいです。 感想等は、下記のハッシュタグといっしょに呟いて貰えると、著者としては小躍りして喜びます ハッシュタグ #AWSの薄い本