AWS Organizationsでアカウントを50作って指定したOUに移動するスクリプト

2024/03/12

AWS Organizationsでアカウントを50個作る必要がありましたので、Pythonスクリプトで実行しました。
OUに移動するまでを自動化しました。

CLIで実行した場合の課題

aws organizations create-account \
--email lab1@example.com \
--account-name lab5 \
--role-name OrganizationAccountAccessRole

aws organizations create-account \

--email lab1@example.com \

--account-name lab5 \

--role-name OrganizationAccountAccessRole

アカウント作成の同時実行数が5ですので、作成完了を待たずに6以上になるとリクエスト拒否になります。
OUへの移動もしたいので、作成完了を待つ必要がありましたので、Python SDKのboto3で作成して実行しました。
GitHubにも置いてます。

Pythonのコード

import json
import boto3

from botocore.exceptions import WaiterError
from botocore.waiter import WaiterModel
from botocore.waiter import create_waiter_with_client

mail_prefix='workshop'
mail_domain='example.com'
source_parent_id='r-xxxxx'
destination_parent_id='ou-xxxxxxx'
start=1
stop=50

delay = 2
max_attempts = 30
waiter_name = 'AccountCreated'
waiter_config = {
    'version': 2,
    'waiters': {
        'AccountCreated': {
            'operation': 'DescribeCreateAccountStatus',
            'delay': delay,
            'maxAttempts': max_attempts,
            'acceptors':[
                {
                    "matcher": "path",
                    "expected": "IN_PROGRESS",
                    "argument": "CreateAccountStatus.State",
                    "state": "retry"
                },
                {
                    "matcher": "path",
                    "expected": "SUCCEEDED",
                    "argument": "CreateAccountStatus.State",
                    "state": "success"
                },
                {
                    "matcher": "path",
                    "expected": "FAILED",
                    "argument": "CreateAccountStatus.State",
                    "state": "failure"
                }
            ],
        },
    },
}

waiter_model = WaiterModel(waiter_config)
org = boto3.client('organizations')
custom_waiter = create_waiter_with_client(
    waiter_name=waiter_name,
    waiter_model=waiter_model,
    client=org
)

for i in range(start, stop+1):
    str_i = str(i)
    response = org.create_account(
        Email='{mail_prefix}{i}@{mail_domain}'.format(
            mail_prefix=mail_prefix,
            i=str_i,
            mail_domain=mail_domain
        ),
        AccountName='{mail_prefix}{i}'.format(
            mail_prefix=mail_prefix,
            i=str_i
        ),
        RoleName='OrganizationAccountAccessRole'
    )
    print(response)
    create_account_request_id = response.get('CreateAccountStatus').get('Id')

    custom_waiter.wait(
        CreateAccountRequestId=create_account_request_id
    )

    response = org.describe_create_account_status(
        CreateAccountRequestId=create_account_request_id
    )

    account_id = response.get('CreateAccountStatus').get('AccountId')
    print(account_id)
    response = org.move_account(
        AccountId=account_id,
        SourceParentId=source_parent_id,
        DestinationParentId=destination_parent_id
    )
    print(response)

import json

import boto3

from botocore.exceptions import WaiterError

from botocore.waiter import WaiterModel

from botocore.waiter import create_waiter_with_client

mail_prefix='workshop'

mail_domain='example.com'

source_parent_id='r-xxxxx'

destination_parent_id='ou-xxxxxxx'

start=1

stop=50

delay = 2

max_attempts = 30

waiter_name = 'AccountCreated'

waiter_config = {

'version': 2,

'waiters': {

'AccountCreated': {

'operation': 'DescribeCreateAccountStatus',

'delay': delay,

'maxAttempts': max_attempts,

'acceptors':[

{

"matcher": "path",

"expected": "IN_PROGRESS",

"argument": "CreateAccountStatus.State",

"state": "retry"

{

"matcher": "path",

"expected": "SUCCEEDED",

"argument": "CreateAccountStatus.State",

"state": "success"

{

"matcher": "path",

"expected": "FAILED",

"argument": "CreateAccountStatus.State",

"state": "failure"

}

waiter_model = WaiterModel(waiter_config)

org = boto3.client('organizations')

custom_waiter = create_waiter_with_client(

waiter_name=waiter_name,

waiter_model=waiter_model,

client=org

)

for i in range(start, stop+1):

str_i = str(i)

response = org.create_account(

Email='{mail_prefix}{i}@{mail_domain}'.format(

mail_prefix=mail_prefix,

i=str_i,

mail_domain=mail_domain

AccountName='{mail_prefix}{i}'.format(

mail_prefix=mail_prefix,

i=str_i

RoleName='OrganizationAccountAccessRole'

)

print(response)

create_account_request_id = response.get('CreateAccountStatus').get('Id')

custom_waiter.wait(

CreateAccountRequestId=create_account_request_id

)

response = org.describe_create_account_status(

CreateAccountRequestId=create_account_request_id

)

account_id = response.get('CreateAccountStatus').get('AccountId')

print(account_id)

response = org.move_account(

AccountId=account_id,

SourceParentId=source_parent_id,

DestinationParentId=destination_parent_id

)

print(response)

create_accountの後に、move_account してOUに移動したいのですが、create_account直後はまだアカウントIDもないし、作成も完了してないのでmove_accountできません。

そこでOrganizationsのWaiterを探します。
Organizationsには、Clientにget_waiterはありますが、そこで指定するWaiterのクラスはありません。

Waiterが用意されている場合は次のコードでも確認できるのですが、結果の配列は空でした。

import boto3
org = boto3.client('organizations')
org.waiter_names

import boto3

org = boto3.client('organizations')

org.waiter_names

検索してたら、create-account.pyに辿り着きまして、カスタムでWaiterを作成されてたので、そのまま使わせていただきました。
こうやってWaiterを作るのですね。

waiter_configでポーリング間隔や確認回数を指定して、CreateAccountStatus.StateがSUCCEEDEDになったらsuccessで、IN_PROGRESSの場合はretry、FAILEDはfailureとしてます。
waiter_configでモデルを定義して、create_waiter_with_clientでOrganizations Clientに関連付けてます。

create_accountレスポンスのCreateAccountStatusのリクエストIDに対してWaiterがポーリングして、successになるまで2秒ごとの再試行を20回繰り返して待ってくれました。

次にアカウントIDの取得ですが、ステータスが更新されたCreateAccountStatusをdescribe_create_account_statusにより現時点の情報を参照して取得しました。
これで無事OUにmove_accountできました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS organizations

: RDSインスタンスのストレージをgp2からgp3に変更しました

2022/11/9にRDSでgp3ボリュームが使用できるようになりました。 Am …

: Amazon Pinpoint Workshopの1(Eメール)

Amazon Pinpoint Workshop ここ数年、AWS re:Inv …

: Amazon Keyspacesのキースペースを作成してみました

Amazon Keyspaces(Apache Cassandra互換のマネージ …

: DynamoDBテーブル項目をS3にエクスポート

DynamoDBテーブルを一時テーブルとして使っていて、毎回使い捨てしてます。 …

: VPC新コンソールの日本語UIでルートテーブル編集時のエラー(2021/6/10)が発生したのでフィードバックを送った

VPCの新コンソールがリリースされていたので使って作業してましたところ、こんなエ …

: ちょっとしたCLI作業にEC2起動テンプレート

CLIでちょっとした作業したいだけのときに、Cloud9を使うまでもないなあと思 …

: AWS CodPipelineの実行モードの動作確認しました

AWS CodePipelineの3つの実行モード(SUPERSEDED(優先済 …

: Amazon EC2 Auto Scalingのライフサイクルフック

EC2 Auto Scalingにライフサイクルフックという機能があります。ス …

: CloudFrontディストリビューションを別アカウントへ移動する

すでにCNAMEを設定しているCloudFrontディストリビューションを、別ア …

: AWSアカウント内のすべてのS3バケットを削除するLambda(Python)

やりたいこと特定アカウント内のS3バケットを全部削除したいです。バケット内の …

PREV: CodeWhisperer(Visual Studio Code)でセキュリティスキャン
NEXT: 「nakanoshima.dev #36 コンテナについて話したい、助けてほしい人集まれLT大会」に参加しました

AWS Organizationsでアカウントを50作って指定したOUに移動するスクリプト

CLIで実行した場合の課題

Pythonのコード

関連記事