こんばんは、小寺です。OrganizationsからではなくControl Tower Account FactoryからAWSアカウントを作成する手順と活用方法について考えてみました。

Control Tower Account FactoryからAWSアカウント作成

(1) 「アカウント作成」より作成してみます。

(2) アカウントの詳細情報を登録します。IAM Identity Centerの権限も付与ができます。

OUを選びます。

オプションとしてService Catalogと連携が可能です。

(3) Service Catalogのオプションを利用していない場合でもService Catalogでアカウント作成状況のステータスが見えるようです。

(4) 少し待つと「出力」タブに結果が表示されました。作成が完了しています。

出力タブにAWSアカウントIDが表示されます。

Control Tower アカウントファクトリーから作成したアカウントの確認

Organizationsから指定したOUにアカウントが存在することを確認できました。また、アカウントファクトリーから作成したAWSアカウントでも、Organizationsから「アカウント閉鎖」機能で閉鎖ができました。

閉鎖後に一方のアカウントファクトリー側でのステータスを見ると、Organizationsから閉鎖したアカウントが「汚染」と表示されていました・・・（日本語・・）

Control Tower Account FactoryとOrganizationsのどちらを使うと良いか？

AWS Control Tower のアカウントファクトリーを使用して、新しいAWSアカウントを払い出す手順を確認してみました。Organizationsから作成される方も多いかと思いますが、今回利用したAccount Factoryの使いどころを考えてみます。

Account Factory Customization (AFC) なるものを用いてカスタマイズ性を上げたAWSアカウント作成をするのがOrganizationsよりも自動化対応に近づけそうだと思いました。

AFCを使ってできるのはAWS Control Tower のブループリントの活用することです。AWS Control Tower と AWS Service Catalog を使用してアカウントのブループリントを定義したり、事前定義されている AWS パートナーが提供するブループリントを使用して、マルチアカウント管理を楽に提供できます。

Organizationsはアカウントの作成、管理まで、AFCではカスタマイズされたアカウント作成を自動的に行うことができ、カスタマイズはCloudFormationとブループリントで誰でも活用することができます。

次回は、AFCを使ったサービスカタログ編へ続く（かもしれない）