アカウント管理には以下の方法があります。 AWS Organizations

AWS Organizations は、複数のアカウントを 1 つの組織に統合し、 AWS 自分で作成して一元管理できるアカウント管理サービスです。Organizations では、メンバーアカウントを作成して、既存のアカウントを組織に招待できます。それらのアカウントをグループ分けしたり、ポリシーに基づいて管理したりできます。詳細については、「AWS Organizations ユーザーガイド」を参照してください。

AWS Control Tower では、Organizations が請求の一元管理、アクセス、コンプライアンス、セキュリティの制御、 AWS メンバーアカウント間でのリソースの共有を支援します。アカウントは、組織単位 (OU) と呼ばれる論理グループに分類されます。Organizations の詳細については、「AWS Organizations ユーザーガイド」を参照してください。

AWS Control Tower は、次の OU を使用します。

• Root - すべてのアカウントおよびランディングゾーンにある他のすべての OU の親コンテナです。

• Security - この OU には、ログアーカイブアカウント、監査アカウント、および所有されているリソースが含まれます。

• Sandbox - この OU は、ランディングゾーンをセットアップすると作成されます。この OU とランディングゾーンにあるその他の子 OU には、メンバーアカウントが含まれています。エンドユーザーは、 AWS リソースで処理を実行するためにこれらのアカウントにアクセスします。

注記

AWS Control Tower コンソールから [Organizational units] (組織単位) ページで他の OU をランディングゾーンに追加できます。

考慮事項

AWS Control Tower によって作成された OU にコントロールを適用できます。AWS Control Tower の外部で作成された OU には、デフォルトでは適用できません。ただし、そのような OU を登録できます。OU を登録したら、その OU とそのアカウントにコントロールを適用できます。OU の登録については、「既存の組織単位を AWS Control Tower に登録する」を参照してください。