AWS Organizationsでアカウントを50作って指定したOUに移動するスクリプト

2024/03/12

AWS Organizationsでアカウントを50個作る必要がありましたので、Pythonスクリプトで実行しました。
OUに移動するまでを自動化しました。

CLIで実行した場合の課題

aws organizations create-account \
--email lab1@example.com \
--account-name lab5 \
--role-name OrganizationAccountAccessRole

aws organizations create-account \

--email lab1@example.com \

--account-name lab5 \

--role-name OrganizationAccountAccessRole

アカウント作成の同時実行数が5ですので、作成完了を待たずに6以上になるとリクエスト拒否になります。
OUへの移動もしたいので、作成完了を待つ必要がありましたので、Python SDKのboto3で作成して実行しました。
GitHubにも置いてます。

Pythonのコード

import json
import boto3

from botocore.exceptions import WaiterError
from botocore.waiter import WaiterModel
from botocore.waiter import create_waiter_with_client

mail_prefix='workshop'
mail_domain='example.com'
source_parent_id='r-xxxxx'
destination_parent_id='ou-xxxxxxx'
start=1
stop=50

delay = 2
max_attempts = 30
waiter_name = 'AccountCreated'
waiter_config = {
    'version': 2,
    'waiters': {
        'AccountCreated': {
            'operation': 'DescribeCreateAccountStatus',
            'delay': delay,
            'maxAttempts': max_attempts,
            'acceptors':[
                {
                    "matcher": "path",
                    "expected": "IN_PROGRESS",
                    "argument": "CreateAccountStatus.State",
                    "state": "retry"
                },
                {
                    "matcher": "path",
                    "expected": "SUCCEEDED",
                    "argument": "CreateAccountStatus.State",
                    "state": "success"
                },
                {
                    "matcher": "path",
                    "expected": "FAILED",
                    "argument": "CreateAccountStatus.State",
                    "state": "failure"
                }
            ],
        },
    },
}

waiter_model = WaiterModel(waiter_config)
org = boto3.client('organizations')
custom_waiter = create_waiter_with_client(
    waiter_name=waiter_name,
    waiter_model=waiter_model,
    client=org
)

for i in range(start, stop+1):
    str_i = str(i)
    response = org.create_account(
        Email='{mail_prefix}{i}@{mail_domain}'.format(
            mail_prefix=mail_prefix,
            i=str_i,
            mail_domain=mail_domain
        ),
        AccountName='{mail_prefix}{i}'.format(
            mail_prefix=mail_prefix,
            i=str_i
        ),
        RoleName='OrganizationAccountAccessRole'
    )
    print(response)
    create_account_request_id = response.get('CreateAccountStatus').get('Id')

    custom_waiter.wait(
        CreateAccountRequestId=create_account_request_id
    )

    response = org.describe_create_account_status(
        CreateAccountRequestId=create_account_request_id
    )

    account_id = response.get('CreateAccountStatus').get('AccountId')
    print(account_id)
    response = org.move_account(
        AccountId=account_id,
        SourceParentId=source_parent_id,
        DestinationParentId=destination_parent_id
    )
    print(response)

import json

import boto3

from botocore.exceptions import WaiterError

from botocore.waiter import WaiterModel

from botocore.waiter import create_waiter_with_client

mail_prefix='workshop'

mail_domain='example.com'

source_parent_id='r-xxxxx'

destination_parent_id='ou-xxxxxxx'

start=1

stop=50

delay = 2

max_attempts = 30

waiter_name = 'AccountCreated'

waiter_config = {

'version': 2,

'waiters': {

'AccountCreated': {

'operation': 'DescribeCreateAccountStatus',

'delay': delay,

'maxAttempts': max_attempts,

'acceptors':[

{

"matcher": "path",

"expected": "IN_PROGRESS",

"argument": "CreateAccountStatus.State",

"state": "retry"

{

"matcher": "path",

"expected": "SUCCEEDED",

"argument": "CreateAccountStatus.State",

"state": "success"

{

"matcher": "path",

"expected": "FAILED",

"argument": "CreateAccountStatus.State",

"state": "failure"

}

waiter_model = WaiterModel(waiter_config)

org = boto3.client('organizations')

custom_waiter = create_waiter_with_client(

waiter_name=waiter_name,

waiter_model=waiter_model,

client=org

)

for i in range(start, stop+1):

str_i = str(i)

response = org.create_account(

Email='{mail_prefix}{i}@{mail_domain}'.format(

mail_prefix=mail_prefix,

i=str_i,

mail_domain=mail_domain

AccountName='{mail_prefix}{i}'.format(

mail_prefix=mail_prefix,

i=str_i

RoleName='OrganizationAccountAccessRole'

)

print(response)

create_account_request_id = response.get('CreateAccountStatus').get('Id')

custom_waiter.wait(

CreateAccountRequestId=create_account_request_id

)

response = org.describe_create_account_status(

CreateAccountRequestId=create_account_request_id

)

account_id = response.get('CreateAccountStatus').get('AccountId')

print(account_id)

response = org.move_account(

AccountId=account_id,

SourceParentId=source_parent_id,

DestinationParentId=destination_parent_id

)

print(response)

create_accountの後に、move_account してOUに移動したいのですが、create_account直後はまだアカウントIDもないし、作成も完了してないのでmove_accountできません。

そこでOrganizationsのWaiterを探します。
Organizationsには、Clientにget_waiterはありますが、そこで指定するWaiterのクラスはありません。

Waiterが用意されている場合は次のコードでも確認できるのですが、結果の配列は空でした。

import boto3
org = boto3.client('organizations')
org.waiter_names

import boto3

org = boto3.client('organizations')

org.waiter_names

検索してたら、create-account.pyに辿り着きまして、カスタムでWaiterを作成されてたので、そのまま使わせていただきました。
こうやってWaiterを作るのですね。

waiter_configでポーリング間隔や確認回数を指定して、CreateAccountStatus.StateがSUCCEEDEDになったらsuccessで、IN_PROGRESSの場合はretry、FAILEDはfailureとしてます。
waiter_configでモデルを定義して、create_waiter_with_clientでOrganizations Clientに関連付けてます。

create_accountレスポンスのCreateAccountStatusのリクエストIDに対してWaiterがポーリングして、successになるまで2秒ごとの再試行を20回繰り返して待ってくれました。

次にアカウントIDの取得ですが、ステータスが更新されたCreateAccountStatusをdescribe_create_account_statusにより現時点の情報を参照して取得しました。
これで無事OUにmove_accountできました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS organizations

: Amazon Aurora Serverlessを使い始めてみました(1日経過しての課金結果も)

祝！！！ Amazon Aurora ServerlessがGAになりました！ …

: AWS Firewall Managerを設定して結果を確認

CloudFront対応のポリシーとして作成したかったので、Globalを選択し …

: Amazon CloudSearchからAmazon Elasticsearch Serviceへ変えました

全文検索をする必要がありまして、本当はCloudSearchを使い続けたいのです …

: VPN接続先のADで管理されているドメインにEC2 Windowsインスタンスから参加する

オンプレミスに見立てたオハイオリージョンにVyOSインスタンスを起動して東京リー …

: Amazon SESの受信ルールでSNSトピックを追加

SESの受信ルールにSNSトピックを設定してみました。 [View Active …

: CloudFront用のAWS管理プレフィックスリストを使用しました

このブログでは、CloudFrontのカスタムヘッダーとALBのルーティングを組 …

: Amazon SNSサブスクリプションフィルターで優先度別のSQSキューにサブスクライブする

EC2のコンシューマーアプリケーションは優先度の高いキューのメッセージを先に処理 …

: AWS VPC ネットワークACLでHTTP(80)のみ許可する

ユーザーガイドのカスタムネットワーク ACLのうち、HTTP(80)を許可する設 …

: 「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー」を執筆いたしました

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー」という本の第 …

: AWS Cloud9でJavaサンプルを実行する

リモートで共有開発ができるCloud9便利ですね。 Cloud9でJavaのサン …

PREV: CodeWhisperer(Visual Studio Code)でセキュリティスキャン
NEXT: 「nakanoshima.dev #36 コンテナについて話したい、助けてほしい人集まれLT大会」に参加しました

AWS Organizationsでアカウントを50作って指定したOUに移動するスクリプト

CLIで実行した場合の課題

Pythonのコード

関連記事