本記事は
AWSアワード受賞者祭り
15日目の記事です。
✨🏆
14日目
▶▶ 本記事 ▶▶
16日目
🏆✨
- はじめに
- アカウントモデルとは
- Solution Provider Account Model(SPAM) の特徴
- End Customer Account Model(ECAM) の特徴
- 自社セキュリティ要件に合わせて管理ができる「アカウントモデル(ECAM)」
- AWS Control Tower 運用考慮ポイント
- さいごに
はじめに
こんにちは。秋田県出身の丹(たん)です。
この度、2024年に続き 2025 Japan AWS Ambassador(Technical Leader)、2025 Japan AWS Top Engineer(Security) に選出いただきました。NRIネットコムから多くのAWSアワード受賞者が選出されたことを嬉しく思います。
先週の「AWSアワード受賞者祭り」の記事が2025 Japan All AWS Certifications Engineersの皆さん、さらには1年目の全冠取得者清水さん、桑野さんに続くということで、嬉しいと共に身の引き締まる思いです。
話は変わりますが、最近より多くのお客様とお話する機会が増えてきました。
その中で、話を理解してもらうということ、その先に"納得感"を持ってもらえるということはとても重要だと感じています。
あたり前なことではありますが、お話した後の反応として「ご説明ありがとうございます」で終わるのと、その後に「大変よく分かりました、貴重なお話をありがとうございます」と言っていただけるのでは聞き手の納得感に雲泥の差があると思っています。
そのように感じていただけるような説明を心がけて、お話するようにしています。
さて、今回はAWSの「アカウントモデル」について書いていきたいと思います。
「アカウントモデル」という言葉をご存じでしょうか?実は、AWSの公式ブログでも「アカウントモデル」という言葉が使われています。
引用元のブログでは、我々のようなソリューションプロバイダープログラムに加入しているAWSパートナー向けの AWS Control Tower ベストプラクティスの説明の中で書かれています。
しかしこれは、間接的にはAWSを利用するお客様にも関わる話でもあります。
特に、自社のセキュリティ要件に合わせてアカウントの管理ができる「アカウントモデル」を紹介します。
アカウントモデルとは
ソリューションプロバイダーであるAWSパートナーが、AWSアカウントをお客様に提供する際のAWSアカウント管理形態となります。 Solution Provider Account Model(SPAM)と End Customer Account Model(ECAM)の2つのアカウント所有モデルがあります。
- どちらのモデルでも、AWSパートナーがすべてのアカウントの請求を担当します
- 子アカウントの所有権に違いがあります
- (ECAM)アカウントの所有権は「エンドユーザー」にあります
- (SPAM)アカウントの所有権は「ソリューションプロバイダー」にあります
- アカウントの所有者がAWSのカスタマーアグリーメントに同意して、root ユーザーのメールアドレスを所有します
「SPAM」と「ECAM」の特徴をもう少し詳しく見ていきましょう。
その前に、用語について解説しておきます。
AWSアカウント上で組織を作成するためには、AWSサービス「AWS Organizations」の利用が必要です。
一括請求やAWSアカウントの一元管理を行う親アカウントを、「マネジメントアカウント」と呼びます。
マネジメントアカウント以外の組織に紐づく子アカウントを、すべて「メンバーアカウント」と呼びます。
Solution Provider Account Model(SPAM) の特徴
SPAMの場合、AWSアカウントの管理方法としては、マネジメントアカウントを含めた全てのAWSアカウントに対する所有権がソリューションプロバイダーであるAWSパートナーとなります。AWSパートナーがAWSアカウントの root ユーザーを所有します。
お客様には、メンバーアカウントのIAMユーザをお使いいただいてAWS上の管理を行っていただきます。
組織の管理方法としては、いわゆるマルチテナントとなり、複数のお客様のAWSアカウントを組織ユニットと呼ばれる単位で分離して管理します。
SPAMの場合は、マネジメントアカウントの管理が全てAWSパートナーとなるため、お客様はAWS Organizationsの機能やAWS Control Towerをお客様自身で管理することはできません。
End Customer Account Model(ECAM) の特徴
ECAMの場合、AWSアカウントの管理方法としては、マネジメントアカウント以外のメンバーアカウントに対する所有権がエンドユーザーであるお客様となります。お客様がAWSアカウントの root ユーザーを所有します。
また、お客様がマネジメントアカウントの一部機能の管理(AWS Organizations や AWS Control Tower、AWS IAM Identity Center等)を行うことができます。
組織の管理方法としては、単一のお客様専有の組織をお客様自身で管理することができるものです。
すなわち、お客様専用の組織を管理・統制できることになります。
自社セキュリティ要件に合わせて管理ができる「アカウントモデル(ECAM)」
ECAMの特徴を見て分かる通り、この場合はメンバーアカウントの root ユーザー所有がお客様になります。
root ユーザーを厳重に管理してもらえるとしても、全権限が付与されている root ユーザーをAWSパートナーが所有するというのは、自社のセキュリティ要件上難しいというお客様も、ECAMのアカウント管理形態であればマネジメントアカウントの root ユーザー以外は自社で管理することができます。
AWS re:Invent 2024前に発表された AWS Organizations による root ユーザーの一元管理機能も利用できる場合があります。
root ユーザーの管理に懸念があったお客様も、ECAMでのAWSアカウント管理を検討してみてはいかがでしょうか。
さて、今回自社セキュリティ要件に合わせてアカウント管理ができる「アカウントモデル」の "ECAM" を紹介しました。
ECAMは、お客様自身で AWS Control Tower も利用できるアカウントモデルとなっています。
続いて、AWS Control Tower を導入して運用する際の考慮ポイントについても見てみたいと思います。
AWS Control Tower 運用考慮ポイント
ここから AWS Control Tower やその運用考慮ポイントについてすべてを述べると長くなってしまうため、先日NRIネットコム勉強会「NRIネットコム TECH & DESIGN STUDY #72」で話した資料を紹介します。
資料の後半で、AWS Control Tower の運用における考慮ポイントを解説しています。
AWSアカウントのマルチアカウント運用の必要性に始まり、アジリティとセキュリティの両立、ガードレール(Guardrail)という考え方:発見的統制、予防的統制、AWS Control Tower から運用で考慮する以下の観点を紹介しています。
①ランディングゾーンのバージョン管理による AWS Lambda ランタイム更新
②AWS Control Tower 管理のマネージド Config によるコントロール
③監査アカウントに集約されている通知の管理
④AWS Control Tower の運用トラブルシューティング
- ベースラインでの継承ドリフトの解決
- AWSアカウント解約時の AWS Control Tower 登録解除
さいごに
今回、専門分野であるAWSアカウント管理の「アカウントモデル」について紹介しました。
AWS Organizations や AWS Control Tower も自社で管理できて、自社セキュリティ要件に合わせて管理ができる "ECAM" について、組織を拡大していくためにも必要なアカウント管理形態です。自社で組織を管理していきたい方にとって、メリットの多いアカウントモデルだと思います。
AWSアカウント管理について、少しでも理解を深めていただけますと幸いです。
