ヤマムギ

growing hard days.

*

AWS Organizationsからアカウントを新規作成してみて

   

AWS Organizationsでアカウントを新規作成することがありましたので、記録です。
メールアドレスだけを登録すればいいのですごく簡単でした。

ルートユーザーのパスワードは最低64桁以上で設定されているので、それだけでよければ放置でもいいのですが、今回は念のためMFAも有効にしました。

AWS Organizationsからアカウント作成

マネジメントコンソールから操作をしました。
Organizationsで[アカウントの追加]をクリックしました。

[アカウントの作成]をクリックしました。

任意のフルネームとメールアドレスを設定します。
スイッチロールするためのIAMロールを任意の名前に変更する場合は入力します。
IAMロール名を入力しない場合は、”OrganizationAccountAccessRole”になります。

[作成]をクリックしてアカウント作成です。
非常に簡単でした。

作成したアカウントにスイッチロール

アカウントが出来たので、親アカウントにログインしているIAMユーザーからスイッチロールしてみたいと思います。

親アカウントにログインしているユーザーは、AdministratorsというAdministratorAccessポリシーがアタッチされている、Administratorsグループのメンバーです。

ですので、Administratorsグループにインラインポリシーでsts:AssumeRoleの権限を設定します。

新規アカウントのIAMロール名は変更していないので、ARNは見なくてもわかるはずです。
12桁のアカウントIDは仮で000000000000としてますので適宜読み変えてください。

保存したのでスイッチロールしてみます。
IAMユーザー名をクリックして、[スイッチロール]をクリックしました。

[ロールの切り替え]をクリックしました。

12桁のアカウントIDとロール名OrganizationAccountAccessRoleと、表示名はわかりやすい任意の名前を指定しました。
スイッチロールできました。

作成したアカウントのルートユーザーパスワード取得してMFA設定

スイッチロールはできましたが、ルートユーザーにMFAの設定がないことが気になります。
最低限64桁のパスワードは設定されています。
でも気になったので、ルートユーザーのMFA設定をしたいと思います。

もちろん親アカウントのIAMユーザーがスイッチロールしてアクセスした状態では、ルートユーザーのMFAは設定できません。

新アカウントのルートユーザーでマネジメントコンソールにログインする必要があります。
でもパスワードは知らされていません。
どうするかというと、パスワードを忘れた人から再設定します。

これでルートユーザーでログインできたので、MFAを設定しておきます。

やってみて

作成したアカウントのルートユーザーにMFAを設定するのは自動化するのはできなさそうなので、自動的に複数アカウントを作るのであれば、64桁以上のパスワードで良しとする運用を考えるべきか。
ロールが自動作成されるので、作成後のアカウントに親アカウントのLambdaからIAMユーザーを作成して、CloudFormationスタック作成を実行して、演習環境として一時的な提供はできそうです。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS ,

ad

ad

  関連記事

「re:CAP ~サーバーワークス re:Invent 2018 報告会~」でre:Invent2018について思われたことを聞かせていただいた

サーバーワークスさんのre:Invent re:CAPにおじゃましました。 re …

AWS Organizations組織の移動

AWS Organizations組織の移動 やりたいことは、Organizat …

AWS WAF Web ACLとルールをv1(Classic)からv2に自動移行しました

新しいものは、課題が解決されていたり、機能追加されたりするのでいいものです。 長 …

ParquetフォーマットのデータにS3 Select SQLを実行する

RDSスナップショットのS3エクスポート結果確認で出力したデータが、S3にPar …

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー」執筆裏話

今日2019/4/20発売となりました「AWS認定資格試験テキスト AWS認定ク …

新しいVPCウィザード(2022年)がすんごく便利になってました

VPCウィザードがすんごく便利になってました。 ウィザードの左ペインで設定を選択 …

EC2スポットインスタンスの中断通知を受ける

オートスケーリンググループでEC2インスタンスをスポットインスタンスで使用してい …

IAMアイデンティティセンター(IIC)のList Assignment APIを確認しました

やりたいことは、IAMアイデンティティセンター(IIC)のユーザー名をキーにして …

Amazon Location Service入門ワークショップ-トラッカー

トラッカーでデバイスの位置や移動履歴を追跡できます。 関連記事 Amazon L …

Amazon EC2 Auto ScalingのVPCは変更できる

EC2 Auto ScalingのVPCは変更できたっけ??と思いまして試しまし …