AWS オンボーディング
このページでは、DoiT に新規登録後もお客様自身の AWS Organization を維持する場合のオンボーディング手順について説明します。
支払い方法と税設定(DoiT チームが対応)を除き、このプロセスはセルフサービスで実施できます。必要に応じて、いつでもサポートをご依頼ください。
Step 1 — 準備(お客様作業)
DoiT と契約締結後、DoiT のアカウントエグゼクティブチームからオンボーディングプロセスの概要が共有され、準備フェーズをご案内します。以下をご確認ください。
-
AWS Organization 内の AWS 管理アカウント(旧称 Master Payer Account)を特定します。
-
AWS Organizations のすべての機能が有効化されていることを確認します。
-
上記の手順が完了したことをアカウントエグゼクティブに連絡します。
Step 2 — セルフサービスによるオンボーディング(お客様作業)
以下の短い動画を見るか、手順に従って進めてください。
us-east-1リージョン内で、ポートフォリオ ID を使用して利用可能な Service Catalog ポートフォリオのいずれかをインポートします。
必ず us-east-1 リージョンでポートフォリオをインポートしてください。そうしないと、ポートフォリオのインポートに失敗します。
- us-east-1
サービスのクォータにより、3 つの AWS Service Catalog ポートフォリオのうち 1 つだけが自動システムからお客様のアカウントに共有されます。インポートに失敗した場合は、次のポートフォリオをお試しください。
port-npjvbgaskjcos
port-el7j5lgjtsz5i
port-xb7rsjalewmas
-
DoiT-Onboarding-*Service Catalog ポートフォリオでお客様の AWS プリンシパルへのアクセスを付与します。 -
mpa-accessService Catalog プロダクトを起動します。利用可能なオプションは以下のとおりです。
| Option | Description | Supported values | Default |
|---|---|---|---|
| PayerAccountType | DoiT チームからの指示がない限り、変更しないでください。 | standard, nra | standard |
mpa-onboardingService Catalog プロダクトを起動します。利用可能なオプションは以下のとおりです。
| Option | Description | Default |
|---|---|---|
| countryCode | AWS アカウントの正しい連絡先情報を設定するための国コード。DoiT のアカウントエグゼクティブから提供されます。 | - |
| deployAwsOrg | AWS Organization を作成、または既存の組織を取り込み、AWS Organizations のすべての機能を有効化します。 | true |
| deployCloudTrail | 宛先として使用される AWS CloudTrail の Trail と S3 Bucket をデプロイします。 | true |
| isNra | オンボーディング用の��特別な設定です。指示がある場合のみ変更してください。 | false |
| payerId | DoiT の内部 payer ID。DoiT のアカウントエグゼクティブから提供されます。スキーマ[0-9]に従う必要があります。 | - |
Step 3 — アカウント設定(DoiT の AWS Ops チーム作業)
-
組織のメールアドレス検証プロセスを完了します(管理アカウントのルートユーザーのメールアドレスが変更されたため必要です)。
-
AWS 管理アカウントのルートユーザーのパスワードをリセットします。
-
AWS Channel Management ダッシュボードを使用して、組織を SPP にオンボードします。
-
既存の支払い方法を DoiT の支払い方法に置き換えます。
-
税プロファイルを DoiT の請求プロファイルに合致する国に設定します。
FAQ
プロセスの途中で何かが壊れることはありますか?
いいえ。このプロセスは中断が発生しないように設計されています。
AWS Organizations の機能への影響はありますか?
AWS Organization のすべての機能(AWS SSO、AWS Backup、AWS Firewall Manager、Resource Manager など)は、これまでどおり同じように動作します。
管理アカウント上で作成されるロールの IAM ポリシーはどこで確認できますか?
インストール前に、以下のいずれかの方法で作成されるリソースを確認できます。
-
Service Catalog プロダクトが起動時にインストールする CloudFormation スタックを、起動前に確認する。
-
AWS Service Catalog のローンチプランを作成し、算出されたリソースのプレビューを��取得する。
セルフサービスのオンボーディングを実行するにはどの権限が必要ですか?
最新の最小限必要な IAM 権限を参照してください。
オンボーディング後に、ルートユーザーの資格情報で管理アカウントへアクセスする必要がある場合はどうすればよいですか?
日常的な管理作業や AWS リソースへのアクセスのために、IAM 管理者ロールをご用意しています。これは AWS のアカウントのルートユーザーを保護するためのベストプラクティスに沿った対応です。
ルートユーザーの認証情報が必要なタスクを実行する必要がある場合は、エキスパートへの問い合わせを開くから DoiT に作業をご依頼ください。
詳細はAWS 管理アカウントのルートユーザーの資格情報をご覧ください。
自分は DoiT の統合請求アカウントなのか、専用の payer アカウントなのか?
以下の 3 つの統合 payer アカウントのいずれかのメンバーアカウントである場合は、DoiT の統合請求アカウントに所属しています。
| Payer account ID | Payer account name |
|---|---|
561602220360 | doitintl-payer-01 |
017920819041 | doitintl-payer-02 |
279843869311 | doitintl-payer-07 |
上記以外の DoiT のリセラー payer アカウントに所属している場合は、専用の payer アカウントに所属しています。
Payer account と member accountも参照してください。