を使用してアカウントを別の組織に移行する AWS Organizations - AWS Organizations
移行前移行移行後

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用してアカウントを別の組織に移行する AWS Organizations

は、ある組織 AWS アカウント から別の組織にいつでも移行できます。例えば、複数の組織 AWS アカウント から 1 つ以上の組織を 1 つの組織に統合する必要がある場合に、合併と買収の場合には、アカウントを移行すると便利です。

ユースケースに関係なく、組織間でアカウントを移行するには、古い組織からアカウントを削除し、アカウントをスタンドアロンアカウントとし、アカウントが新しい組織からの招待を受け入れて新しい組織に参加する必要があります。ワークロードとサービスは、移行中もお客様の仕様に従って動作し続けます。ただし、組織内の依存関係に注意することが重要です。

注記

閉鎖または停止されたアカウントは移行できません

閉鎖または停止されたアカウントは移行できません。アカウントをリアクティブにするには、サポートにお問い合わせください。

7 日間の待機要件

組織内に作成したアカウントを移行するには、アカウントが作成されてから 7 日以上が経過している必要があります。招待されたアカウントの場合には、7 日間待つ必要はありません。

アカウント間のデータのレプリケート

次の AWS 規範ガイダンスでは、 AWS アカウントリソースレプリケーションまたは移行の AWS アカウント 間でデータをレプリケートするための戦略について説明します。

アカウントを移行する前にする必要があること

をある組織 AWS アカウント から別の組織に移行する前に、次のステップを完了していることを確認してください。

ステップ 1: アカウントを移行するために必要な IAM アクセス許可があることを確認する

アカウントをそれぞれの組織に移行するために必要なアクセス許可が適用されていることを確認してください。

組織を登録解除する場合は、次のアクセス権限が必要です:

  • organizations:DescribeOrganization (コンソールのみ)

  • organizations:LeaveOrganization

詳細については、「メンバーアカウントから組織を退会する」を参照してください。

AWS アカウント を組織に招待するには、次のアクセス許可が必要です。

  • organizations:DescribeOrganization (コンソールのみ)

  • organizations:InviteAccountToOrganization

詳細については、「 AWS アカウント を組織に招待する」を参照してください。

アカウントを移行するには、移行を妨げる IAM ポリシーまたはサービスコントロールポリシーを持つことはできません

管理アカウントまたは委任管理者である場合は、組織内の IAM ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチすることで、 AWS リソースへのアクセスを制御できます。詳細については、「IAM policies for AWS Organizations」を参照してください。

アカウントを移行する前に。

  • アカウントの移行を妨げる IAM ポリシーまたはサービスコントロールポリシー (SCP) がないことを確認します。

  • アカウントを移行する組織でレプリケートする必要がある既存の IAM ポリシーとサービスコントロールポリシー (SCP) を特定します。

  • 組織 ID を指定する既存の IAM ポリシーを特定します。例えば、aws:PrincipalOrgID

詳細については、「IAM ユーザーガイド」の「IAM ポリシーを管理する」および「サービスコントロールポリシー (SCP)」を参照してください。

ステップ 2: 古い管理アカウントへのアクセスを有効にする IAM アクセス許可が削除されていることを確認します。

OrganizationAccountAccessRole などの古い管理アカウントへのアクセスを有効にする IAM アクセス許可が削除されていることを確認します。

メンバーアカウントを組織から削除しても、組織の管理アカウントによるアクセスを有効にするために作成された IAM ロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、その IAM ロールを手動で削除する必要があります。

ロールを削除する方法について詳しくは、IAM ユーザーガイドのロールまたはインスタンスプロファイルの削除を参照してください。

ステップ 3: 電話の検証と支払い方法を確認する

移行アカウントは、新しい組織に移行する前に、一定期間スタンドアロンアカウントとして機能する必要があります。

アカウントをスタンドアロンアカウントとして機能させるには、以下を確認してください。

  • 電話の検証が最新であることを確認します。

  • アカウントの移行中に発生した料金に対処するために、アカウントに有効な支払い方法が追加されていることを確認してください。

  • 支払い方法に請求を使用する場合は、請求書が最新であることを確認します。

ステップ 4: すべてのレポートをバックアップする

管理アカウント、特に請求レポートからレポートをエクスポートまたはバックアップしてください。組織レベルのレポートと履歴は、アカウントを移行するときに保存されません。すべての請求履歴を完全にエクスポートすることをお勧めします。 AWS CloudTrail イベント履歴やアカウント請求履歴など、メンバーアカウントのレポートには引き続きアクセスできます。

重要

管理アカウントの組織請求情報など、すべての組織レベルのレポートと履歴は、アカウントが組織から削除された後に削除されます。

詳細については、「Cost and Usage Reports」、「Cost Explorer Reports」、「Savings Plans Reports」、「Reserved Instance (RI) utilization and coverage」を参照してください。

ステップ 5: 組織の依存関係を確認する

移行するアカウントに組織関連の依存関係がないことを確認します。

確認する依存関係:

  • アカウントが委任された管理者である場合は、アカウントを移行する前に委任された管理者のアクセス許可の登録を解除する必要があります。詳細については、「 で使用できるサービス AWS Organizations」を参照してください。

  • アカウントが管理アカウントである場合は、移行する前に組織からすべてのメンバーアカウントを削除し、組織を削除する必要があります。組織を削除すると、管理アカウントはスタンドアロンアカウントとして機能します。移行後、管理アカウントは新しい組織のメンバーアカウントになります。詳細については、「Deleting an organization」を参照してください。

  • IAM アクセス許可がアカウントに依存する場合は、古い組織が以前と同じように機能するために、アカウントを新しい組織に移行した後に、古い組織のアクセス許可を調整する必要があります。詳細については、「Managing access permissions for your organization」を参照してください。

  • アカウントまたは組織単位 (OU) タグを使用している場合は、新しい組織でタグを再作成する必要があります。

(オプション) ステップ 6: を使用する場合はガイダンスを確認する AWS Control Tower

によって管理されている組織との間でアカウントを移行する場合は AWS Control Tower、次の AWS 規範ガイダンスを参照してください。AWS メンバーアカウントを から に移行 AWS Organizations します AWS Control Tower

アカウントの移行に必要なこと

移行プロセスでは、新しい組織が移行アカウントへの招待を送信し、古い組織が移行アカウントを削除し、移行アカウントが新しい組織からの招待を受け入れて新しい組織に参加する必要があります。

アカウントを移行するには

  1. 新しい組織の管理アカウントから移行アカウントに招待を送信します。アカウントが古い組織を離れる前に、招待をそのアカウントに送信する必要があります。これにより、移行アカウントがスタンドアロンアカウントとして一時的に動作するときに発生するコストを最小限に抑えることができます。アカウントを招待する方法については、「 AWS アカウント を組織に招待する」を参照してください。

  2. 古い組織から移行アカウントを削除します。管理アカウントを使用して組織からメンバーアカウントを削除するか、メンバーアカウントとして組織を離れることができます。

  3. 新しい組織に参加するための招待を受け入れます。詳細については、「Accepting an invitation from an organization」を参照してください。ある組織から別の組織に移行するアカウントは、新しい組織のルートに自動的に追加されます。新しい組織の組織単位 (OU) にアカウントを移動する前に、移行するアカウントに適切な組織ポリシーと OU アクセス許可があることを確認することをお勧めします。

  4. 管理アカウントを移行する場合は、管理アカウントを新しい組織に移行する前に、組織からすべてのメンバーアカウントを削除し、組織を削除する必要があります。古い組織を削除すると、管理アカウントはスタンドアロンアカウントとして機能し、新しい組織からの招待を受け入れて新しい組織に参加できます。招待を受け入れると、管理アカウントは新しい組織のメンバーアカウントになります。

アカウントの移行後に実行する必要があること

アカウントをある組織から別の組織に移行したら、次のステップを完了していることを確認してください。

移行後レビュー

  1. コストカテゴリ、予算、請求アラームなど、移行されたアカウントのすべての請求ツール設定を評価します。

  2. ある組織から別の組織に移行したアカウントについて、次の金額情報を確認して更新します。

    1. 必要に応じて、アカウントの税金設定を更新します

    2. アカウントの移行 サポート 計画が、新しい組織の支払者アカウントと一致していることを確認してください。

    3. 移行したアカウントに適用する可能性のある免税を確認します。

  3. 移行されたアカウントの既存の IAM ポリシーとサービスコントロールポリシー (SCP) を検証して確認します。例えば、一部の IAM ポリシーの組織 ID を更新して、新しい組織を反映する必要がある場合があります。

  4. アカウントを移行した新しい組織のコスト配分タグを更新します。移行したアカウントによって収集された以前のすべてのコスト配分タグを更新する必要があります。

  5. リザーブドインスタンスSavings Plans は、アカウントとともに移行されます。これらは古い組織には保持されません。 サポート これらを古い組織に転送する必要がある場合は、 にお問い合わせください。