# AWS Organizations ~ IAM Identity Center AWS Organizationsで組織を作成し、その中で各(メンバー)アカウントを作成し、最後に、実際のユーザに各アカウントのロールを振り分けるところまで記載します。 ## AWS Organizations 新規作成の流れ https://dev.classmethod.jp/articles/overview-introduction-to-organizations-enabled-configuration-procedure/ 1. AWS Organizationsを有効化し、管理アカウントのメールアドレスを検証する。 2. Root -> 各OUで階層化 3. メンバーアカウントの作成 ### メンバーアカウント作成のベストプラクティス https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/best-practices_member-acct.html > アカウントの使用状況を反映した命名構造とメールアドレスを使用 メールアドレスの命名規則の例 workloads+project+env@domain.com * project+[dev/stag/prod]@domain.com * project+envの命名 * [info/ops/hr]+project+[dev/stag/prod]@domain.com * workloads+project+envの命名 * [info/ops/hr]@domain.com * workloadsのみ #### メンバーアカウントのルートユーザは普段は使用しない * AWS Organizationsでメンバーアカウントを作成した際は、各々のルートユーザアカウントで登録される。 * 実際にAWS環境を扱う場合は、IAM Identity Center上で作成したユーザに、ロール単位でメンバーアカウントの機能の一部を使用権限として割り当てるようにする。 ## AWS IAM Identity Center https://qiita.com/sakai00kou/items/086a12caa69a78c18f61   ## 以上を使って、AWSを始めるときに最初にやることの例 1. AWS Organizationsで組織を作成する 2. メンバーアカウントを作成する 3. 許可セットを作成する 4. アカウントにグループを割り当てる 5. ユーザにグループを割り当てる 6. ユーザがIAM Identity Centerのポータルからログインして、ユーザが任意の環境を必要な権限の元で触れるようになる