AWS Organizationsによる一括請求管理
目次
AWS Organizationsによる一括請求管理
AWS(Amazon Web Services)を利用していると、システム監視やセキュリティなどの運用管理のほかに、課金管理も非常に重要な要素の一つとなってきます。AWSで用意されている課金管理のサービスにはさまざまな種類がありますが、本記事ではAWS Organizationsというサービスを用いて課金管理を行う方法について記載します。AWS Organizationsは、複数のアカウントを利用している場合の課金管理に非常に有効なサービスです。
AWSアカウントは分けたほうがいい?
AWSでは、まず利用の申し込みを行うと、メールアドレスや請求先の情報を登録し、アカウントを作成します。課金はアカウント単位で発生します。1つのアカウントで社内すべてのワークロードを管理している場合もありますが、アカウントは分離したほうがメリットが多いです。なぜアカウントを分けたほうがいいのかというと、メリットは2つあります。
- セキュリティ上のメリット
アカウントを分離することで、サービスの誤操作や作業ミスによる変更・削除を防止することができます。AWSアカウントは、アカウント内で起動しているサービスはリージョンごとにコンソール上で表示されるため、利用しているEC2などのサービスが一覧として表示されます。そのような仕様なので、1つのアカウントですべてのワークロードを管理している場合は、作業ミスによる予期せぬ変更・削除を行ってしまう可能性が高くなります。また、個人情報など部外者に見られてはいけないものも、1つのアカウントではアクセス権限の管理が複雑となってしまうため、アカウントを分離したほうが管理が行いやすいというメリットがあります。 - サービス上限のメリット
AWSサービスはアカウントごとに上限を持っています。たとえばVPCは初期状態で5個しか作成できません。一方で申請をすることで個数は増やせますが、複数のワークロード・システムが実行されている場合は管理が難しくなります。したがって、アカウントを分けることで上限の申請や管理がしやすくなります。
AWS運用コストの削減のご相談も可能 運用コストを引き下げるスタイルズのAWS導入・移行サービスはこちら→
AWSアカウントを分けるデメリット
一方で、AWSアカウントを分けると下記のようなデメリットが存在します。
- アカウントの初期設定
CloudTrailによるログ収集や、GuardDutyなどの有効化といった、必要なセキュリティ設定について、各アカウントで実施する必要があります。そのため、アカウントが増えれば増えるほどこのような設定を行う必要があり、設定工数や管理工数が増えていくといったデメリットがあります。 - 課金管理
アカウントごとに設定する支払い方法(クレジットカード情報や、エンタープライズ企業であれば請求書情報)の管理が必要になります。請求書払いについては、設定のためにはAWS担当者に確認を行う必要が生じるため、リードタイムもかかってしまい、アカウントが増えればその分手間がかかってしまいます。
AWS Organizationsとは?
AWS Organizationsとは、複数アカウント管理を集中的に行えるサービスです。親アカウントとしてマスターアカウントを作成し、子アカウント(メンバーアカウント)の管理を一元化することができます。APIを利用してアカウントを開設する形になりますので、CLIコマンドや数クリックで新規アカウントを作成することが可能です。
それによって、AWSアカウントを作成する際の電話認証などの対応が不要になります。そのほかにも、AWS Organizationsを利用して生じるメリットは様々あります。具体的にどのようなメリットがあるのか、見ていきましょう。
AWS Organizationsのメリット
AWS Organizationsのメリットは下記3点になります。
- 複数AWSアカウントを一元管理が可能
- 簡単なアカウント作成が可能になる
- 請求管理の一元化ができる
それぞれどのようなメリットなのか、具体的に記載していきます。
複数AWSアカウントを一元管理が可能
複数アカウントのセキュリティ設定や権限管理を一元化することが可能です。ユーザー、アカウント、または組織全体にサービスコントロールポリシー(SCP)を適用してAWSサービスへのアクセスをコントロールすることができます。また、下記のサービスの設定を複数アカウントで同時に実装することが可能になり、セキュリティなどの統制を取りやすくなるというメリットがあります。
- AWS CloudTrail(監査ログ・操作ログの取得)
- Amazon GuardDuty(脅威検知サービス)
- AWS Control Tower(セキュリティ管理)
- AWS Config(設定管理)
- AWS Backup(バックアップ設定、モニタリング)
簡単なアカウント作成が可能になる
AWS Organizationsを利用していない場合はGUIのみでしか作成できないですが、AWS OrganizationsではGUIだけでなく、コンソール、SDK、CLIでもAWSアカウントを新規作成することが可能です。したがって、社内の申請フローと連携させたり、スクリプトを作成したりなどして、アカウント作成を自動化することが可能になります。
請求管理の一元化ができる
複数AWSアカウントの請求を一括して処理することが可能になります。これによって、各アカウントの請求情報を一元的に閲覧することだけでなく、請求書や支払の処理も一元管理することが可能になります。詳細は次項以降で説明していきます。
AWS運用コストの削減のご相談も可能 運用コストを引き下げるスタイルズのAWS導入・移行サービスはこちら→
一括請求(コンソリデーティッドビリング)とは?
一括請求(コンソリデーティッドビリング)とは、各アカウントの請求を一元管理する機能のことです。AWS Organizationsで各アカウントを親アカウントに統合すると組織内のメンバーアカウントで発生した課金情報を親アカウントに集約することができます。また、請求自体も親アカウントにまとめて行われるようになります。
親アカウントのCost Explorerからは全てのメンバーアカウントの課金情報を閲覧することができるようになります。また、請求処理自体も親アカウントで一括実施することができるようになり、請求処理の手間を削減することが可能となります。
一括請求で可能になる各種ディスカウントの共有
AWS Organizationsで組織を構成すると、組織内のすべてのアカウントの使用量を結合し、 料金のボリューム割引を組織単位で受けることができます。具体的には、Amazon EC2やRDSを1年/3年単位で購入することで割引を受けることができるリザーブドインスタンスやSavings Plansを共有し、無駄なく利用することもできます。例えば3年契約のリザーブドインスタンスを、2年分は子アカウントAで利用し、残り1年は別の子アカウントBで利用する、といった振り分けが可能になります。
一括請求(コンソリデーティッドビリング)の注意点
AWS Organizationsは基本的に無料で使うことができますが、2点注意事項があります。
- コスト配分タグを使う場合
コスト配分タグを使用して、請求のレポートを出力する予定がある場合は注意が必要になります。現在の仕様においては、統合後にメンバーアカウントではコスト配分タグの設定が行えないため、統合前に有効化しておく必要があります。統合後に有効化したい場合は、サポートに依頼すれば対応してもらえますが、時間的なリードタイムがかかってしまいます。 - 請求にクレジットカードを利用している場合
クレジットカードを利用している場合は、カードの上限についても気にしておく必要があります。上限に気づかず、請求ができなくなってしまうとAWSアカウントが停止される恐れがあります。この点はカード会社にカードの契約情報について事前に確認しましょう。
まとめ
AWS Organizationsを利用することで、AWSアカウントの請求情報をより『見える化』することが可能になります。また、本記事でも触れましたが、リザーブドインスタンス/Savings Plansを利用することでさらに効率よくAWSコスト管理が可能になります。その点については別記事で扱いますが、まずはAWS Organizationsを利用してコストやセキュリティ管理を効率化してみましょう。