AWS Organizations でアカウントを別の組織に移行する - AWS Organizations
移行前移行 移行後

AWS Organizations でアカウントを別の組織に移行する

AWS アカウント は、ある組織から別の組織にいつでも移行できます。例えばアカウントを移行すると、合併と買収のケースで 1 つ以上の AWS アカウントを複数の組織から 1 つの組織に統合する必要がある場合に役立つことがあります。

ユースケースに関係なく、組織間でアカウントを移行するには、古い組織からアカウントを削除し、アカウントをスタンドアロンアカウントとし、アカウントが新しい組織からの招待を受け入れて新しい組織に参加する必要があります。ワークロードとサービスは、移行中もお客様の仕様に従って動作し続けます。ただし、組織内の依存関係に注意することが重要です。

注記

閉鎖または停止されたアカウントは移行できません

閉鎖または停止されたアカウントは移行できません。アカウントをリアクティブにするには、サポートにお問い合わせください。

4 日の要件

組織内に作成したアカウントを移行するには、アカウントが作成されてから 4 日以上が経過している必要があります。招待されたアカウントの場合には、7 日間待つ必要はありません。

アカウント間のデータのレプリケート

次の AWS 規範ガイダンスでは、AWS アカウント間でデータをレプリケートするための戦略について説明します。リソースレプリケーションまたは AWS アカウント間の移行

アカウントを移行する前にする必要があること

AWS アカウントをある組織から別の組織に移行する前に、次の手順を完了していることを確認してください。

ステップ 1: アカウントを移行するために必要な IAM アクセス許可があることを確認する

アカウントをそれぞれの組織に移行するために必要なアクセス許可が適用されていることを確認してください。

組織を登録解除する場合は、次のアクセス権限が必要です:

  • organizations:DescribeOrganization (コンソールのみ)

  • organizations:LeaveOrganization

詳細については、「メンバーアカウントから組織を退会する」を参照してください。

AWS アカウントを組織に招待するには、次のアクセス許可が必要です:

  • organizations:DescribeOrganization (コンソールのみ)

  • organizations:InviteAccountToOrganization

詳細については、「Inviting an AWS アカウント to join your organization」を参照してください。

アカウントを移行するには、移行を妨げる IAM ポリシーまたはサービスコントロールポリシーを持つことはできません

管理アカウントまたは委任管理者として、組織内の (IAM) アイデンティティ (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチすることで、AWS リソースへのユーザーのアクセスをコントロールすることができます。詳細については、「IAM policies for AWS Organizations」を参照してください。

アカウントを移行する前に。

  • アカウントの移行を妨げる IAM ポリシーまたはサービスコントロールポリシー (SCP) がないことを確認します。

  • アカウントを移行する組織でレプリケートする必要がある既存の IAM ポリシーとサービスコントロールポリシー (SCP) を特定します。

  • 組織 ID を指定する既存の IAM ポリシーを特定します。例えば、aws:PrincipalOrgID

詳細については、「IAM ユーザーガイド」の「IAM ポリシーを管理する」および「サービスコントロールポリシー (SCP)」を参照してください。

ステップ 2: 古い管理アカウントへのアクセスを有効にする IAM アクセス許可が削除されていることを確認します。

OrganizationAccountAccessRole などの古い管理アカウントへのアクセスを有効にする IAM アクセス許可が削除されていることを確認します。

メンバーアカウントを組織から削除しても、組織の管理アカウントによるアクセスを有効にするために作成された IAM ロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、その IAM ロールを手動で削除する必要があります。

ロールを削除する方法について詳しくは、「IAM ユーザーガイド」の「ロールまたはインスタンスプロファイルを削除する」を参照してください。

ステップ 3: 電話の検証と支払い方法を確認する

移行アカウントは、新しい組織に移行する前に、一定期間スタンドアロンアカウントとして機能する必要があります。

アカウントをスタンドアロンアカウントとして機能させるには、以下を確認してください。

  • 電話の検証が最新であることを確認します。

  • アカウントの移行中に発生した料金に対処するために、アカウントに有効な支払い方法が追加されていることを確認してください。

  • 支払い方法に請求を使用する場合は、請求書が最新であることを確認します。

ステップ 4: すべてのレポートをバックアップする

管理アカウント、特に請求レポートからレポートをエクスポートまたはバックアップしてください。組織レベルのレポートと履歴は、アカウントを移行するときに保存されません。すべての請求履歴を完全にエクスポートすることをお勧めします。メンバーアカウントのみを対象とする AWS CloudTrail イベント履歴やアカウント請求履歴などのレポートにアクセスできます。

重要

管理アカウントの組織請求情報など、すべての組織レベルのレポートと履歴は、アカウントが組織から削除された後に削除されます。

詳細については、「Cost and Usage Reports」、「Cost Explorer Reports」、「Savings Plans Reports」、「Reserved Instance (RI) utilization and coverage」を参照してください。

ステップ 5: 組織の依存関係を確認する

移行するアカウントに組織関連の依存関係がないことを確認します。

確認する依存関係:

  • アカウントが委任された管理者である場合は、アカウントを移行する前に委任された管理者のアクセス許可の登録を解除する必要があります。詳細については、「Services you can use with AWS Organizations」を参照してください。

  • アカウントが管理アカウントである場合は、移行する前に組織からすべてのメンバーアカウントを削除し、組織を削除する必要があります。組織を削除すると、管理アカウントはスタンドアロンアカウントとして機能します。移行後、管理アカウントは新しい組織のメンバーアカウントになります。詳細については、「Deleting an organization」を参照してください。

  • IAM アクセス許可がアカウントに依存する場合は、古い組織が以前と同じように機能するために、アカウントを新しい組織に移行した後に、古い組織のアクセス許可を調整する必要があります。詳細については、「Managing access permissions for your organization」を参照してください。

  • アカウントまたは組織単位 (OU) タグを使用している場合は、新しい組織でタグを再作成する必要があります。

(オプション) ステップ 6: AWS Control Tower を使用する場合はガイダンスを確認する

AWS Control Tower によって管理されている組織との間でアカウントを移行する場合は、次の AWS 規範ガイダンスを参照してください。「Migrate an AWS member account from AWS Organizations to AWS Control Tower」。

アカウントの移行に必要なこと

移行プロセスでは、新しい組織が移行アカウントへの招待を送信し、古い組織が移行アカウントを削除し、移行アカウントが新しい組織からの招待を受け入れて新しい組織に参加する必要があります。

アカウントを移行するには

  1. 新しい組織の管理アカウントから移行アカウントに招待を送信します。アカウントが古い組織を離れる前に、招待をそのアカウントに送信する必要があります。これにより、移行アカウントがスタンドアロンアカウントとして一時的に動作するときに発生するコストを最小限に抑えることができます。アカウントの招待の詳細については、「Inviting an AWS アカウント to join your organization」を参照してください。

  2. 古い組織から移行アカウントを削除します。管理アカウントを使用して組織からメンバーアカウントを削除するか、メンバーアカウントとして組織を離れることができます。

  3. 新しい組織に参加するための招待を受け入れます。詳細については、「Accepting an invitation from an organization」を参照してください。ある組織から別の組織に移行するアカウントは、新しい組織のルートに自動的に追加されます。新しい組織の組織単位 (OU) にアカウントを移動する前に、移行するアカウントに適切な組織ポリシーと OU アクセス許可があることを確認することをお勧めします。

  4. 管理アカウントを移行する場合は、管理アカウントを新しい組織に移行する前に、組織からすべてのメンバーアカウントを削除し、組織を削除する必要があります。古い組織を削除すると、管理アカウントはスタンドアロンアカウントとして機能し、新しい組織からの招待を受け入れて新しい組織に参加できます。招待を受け入れると、管理アカウントは新しい組織のメンバーアカウントになります。

アカウントの移行後に実行する必要があること

アカウントをある組織から別の組織に移行したら、次のステップを完了していることを確認してください。

移行後レビュー

  1. コストカテゴリ、予算、請求アラームなど、移行されたアカウントのすべての請求ツール設定を評価します。

  2. ある組織から別の組織に移行したアカウントについて、次の金額情報を確認して更新します。

    1. 必要に応じて、アカウントの税金設定を更新します

    2. アカウントの移行 サポート計画が、新しい組織の支払者アカウントと一致していることを確認してください。

    3. 移行したアカウントに適用する可能性のある免税を確認します。

  3. 移行されたアカウントの既存の IAM ポリシーとサービスコントロールポリシー (SCP) を検証して確認します。例えば、一部の IAM ポリシーの組織 ID を更新して、新しい組織を反映する必要がある場合があります。

  4. アカウントを移行した新しい組織のコスト配分タグを更新します。移行したアカウントによって収集された以前のすべてのコスト配分タグを更新する必要があります。

  5. リザーブドインスタンスSavings Plans は、アカウントとともに移行されます。これらは古い組織には保持されません。これらを古い組織に転送する必要がある場合は、サポートにお問い合わせください。