OU の移行と検証

この例の多国籍製薬会社では、クラウドプラットフォームエンジニアリングチームと変更管理チームが移行計画とスケジュールについて合意しました。AWS アカウント は、計画の一環としてビジネスへの影響と重要度に応じてレビューされ、ランク付けされました。

新しい OU 構造は、新しいポリシーのステージングと段階的な移行を可能にするために、既存の OU 構造と並行してデプロイされました。子 OU を含む新しい空の OU を作成し、それらの子 OU に AWS Organizations ポリシーと AWS Control Tower コントロールを割り当てました。

AWS Organizations ポリシーは、新しい構造に目的のポリシーを適用して手動で移行されました。AWS Organizations ポリシー検証には手動のスポットチェックを使用し、AWS Control Tower コントロール検証には自動化メカニズムを使用しました。これらのチェックが成功した場合にのみ、AWS アカウント は新しい OU に移動されました。

アカウント移行は半自動化され、ずらされたアプローチまたはバッチ化されたアプローチに従いました。最初の移行では、重要度が低いと判断された AWS アカウント を対象とし、移行の実行ごとに 5 つの AWS アカウント のバッチを使用しました。移行バッチは 10 アカウントを超えませんでした。アカウントが移行されると、レビュー担当者とテスターは AWS Control Tower コンソールを使用して、これらのアカウントが正しい OU に移動されたことを検証し、AWS CloudTrail ログでエラーがないかモニタリングしました レビュー担当者は、テイント状態または不明状態のドリフトまたはアカウントについて、AWS Service Catalog および AWS Control Tower コンソールもチェックしました。

アカウントの OU 配置を変更しても、リソースの接続やアクセシビリティには影響しませんでした。本番用アプリケーションの停止は報告されませんでした。