AWS Organizations の用語と概念 - AWS Organizations

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Organizations の用語と概念

このトピックでは、AWS Organizations の使用開始に役立ついくつかの重要な概念について説明します。

次の図は、基本的な組織を示しています。この組織は、7 つのアカウントで構成されており、そのアカウントは、ルートを親として、4 つの組織単位 (OU) に分類されています。組織には、 の一部OUs、または アカウントに直接アタッチされている複数のポリシーもあります。これらの各項目の詳細については、このトピックの定義を参照してください。


            基本的な組織の図
注記

AWS Organizationsは、「マスターアカウント」の名前を「管理アカウント」に変更しています。これは名前の変更のみであり、機能に変更はありません。より新しい期間に移行するための作業を完了している間、古い期間のいくつかのインスタンスが引き続き表示される場合があります。不在着信が表示された場合は、そのページの上部にある [フィードバック] リンクを使用してお知らせください。

組織

1 つの単位として管理できるように、AWS アカウントを 統合するために作成するエンティティ。AWS Organizations コンソールを使用して、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ個以上のメンバーアカウントがあります。最上部が ルートの階層ツリーを模擬した構造のアカウントや、ルート下に作られた組織単位を整理できます。各アカウントは、ルートに直接含めるか、階層OUs内の のいずれかに配置することができます。組織には、有効にする機能セットによって決定された機能を含みます。

ルート

組織のすべてのアカウントが設定された親コンテナ ポリシーをルートに適用する場合は、組織内のすべての組織単位 (OU)アカウントに適用されます。

注記

現在、ルートは 1 つのみ持つことができます。組織の作成時に、AWS Organizations によって自動的に作成されます。

組織単位 (OU)

ルート内のアカウントのコンテナ。また、OU OUs には他の を含めることもできます。これにより、上下反転したツリーに似た階層を作成できます。最上部にはルートがあり、下に向かって枝が到達して、ツリーの葉であるアカウントになります。OUs階層内のノードのいずれかにポリシーをアタッチすると、その配下にあるすべての枝 (OU) や葉 (アカウント) に適用されます。OU は、厳密に親を 1 つ持つことができ、現在、各アカウントを厳密に 1 つの OU のメンバーにすることができます。

アカウント

AWS リソースを含む標準の AWS アカウント。1 つのアカウントにポリシーをアタッチして、そのアカウントのみ制御することができます。

組織には 2 種類のアカウントがあります。1 つは管理アカウントとして指定されたアカウント、もう 1 つはメンバーアカウントです。

  • 管理アカウントは、組織の作成に使用するアカウントです。組織の管理アカウントから、以下の操作を実行できます。

    • 組織にアカウントを作成する

    • 組織に他の既存のアカウントを招待する

    • 組織からアカウントを削除する

    • 招待を管理する

    • 組織内のエンティティ (ルート、 OUs 、または アカウント) にポリシーを適用する

    管理アカウントには支払いアカウントだけでなく、メンバーアカウントによって発生したすべての料金を支払う責任があります。組織の管理アカウントを変更することはできません。

  • 組織に属する残りのアカウントは、メンバーアカウントと呼ばれます。アカウントが組織のメンバーになることができるのは、一度に 1 つのみです。

招待

別のアカウント組織に招待するプロセスです。招待は、組織の管理アカウントによってのみ発行できます。招待は、招待されるアカウントに関連付けられたアカウント ID または E メールアドレスに送られます。招待済みのアカウントによって招待が承認されると、そのアカウントが、組織のメンバーアカウントになります。一括請求機能のみのサポートから、組織のすべての機能のサポートへの変更にすべてのメンバーが承認する必要が出てきた場合に、現在のすべてのメンバーアカウントに招待を送信することもできます。招待は、ハンドシェイクを交換するアカウントによって行われます。AWS Organizations コンソールで作業している場合、ハンドシェイクが表示されないことがあります。ただし、AWS CLI または AWS Organizations API を使用する場合は、ハンドシェイクを直接操作する必要があります。

ハンドシェイク

二者間で情報を交換する複数ステップのプロセスです。AWS Organizations の主な用途の 1 つは、invitations の基盤実装として提供することです。ハンドシェイクメッセージは、ハンドシェイクの開始者と受信者の間で受け渡しと応答が行われます。メッセージは、両方の当事者が確実に現在のステータスを把握できる方法で渡されます。また、ハンドシェイクは、一括請求機能のみのサポートから、AWS Organizations で提供されるすべての機能のサポートへ組織を変更する際にも使用されます。通常、ハンドシェイクは、AWS Organizations API または AWS CLI などのコマンドラインツールを使用する場合にのみ、直接交換する必要があります。

利用可能な機能セット
  • すべての機能 – AWS Organizations で利用できるデフォルトの機能セットです。一括請求のすべての機能だけでなく、高度な機能を使用して、組織のアカウントを詳細に制御できます。たとえば、すべての機能が有効になっている場合、組織の管理アカウントは、メンバーアカウントより完全に制御できます。管理アカウントは、アカウントのユーザー (ルートユーザーを含む) とロールがアクセスできるサービスとアクションを制限するSCPsために適用できます。管理アカウントは、メンバーアカウントが組織を離れるのを防ぐこともできます。すべての機能を有効にして組織を作成するか、組織の設定を一括請求機能 (コンソリデーティッドビリング) のみのサポートからすべての機能のサポートに変更することができます。すべての機能を有効にするには、すべての招待されたメンバーアカウントが、管理アカウントによるプロセスの開始時に送信される招待を承諾して、変更を承認する必要があります。

  • 一括請求 (コンソリデーティッドビリング) – この機能を利用すると、請求機能を共有できますが、AWS Organizations の高度な機能は含まれませんたとえば、ポリシーを使用して、異なるアカウントのユーザーとロールが実行できることを制限することはできません。高度な AWS Organizations 機能を使用するには、組織のすべての機能を有効にする必要があります。

サービスコントロールポリシー (SCP)

ユーザーやロールが、SCP による影響を受けるアカウントで使用できるサービスやアクションを指定するポリシーです。SCPsは、IAMアクセス権限が付与されない点を除き、アクセス権限ポリシーと似ています。代わりに、組織、組織単位 (OU) またはアカウントの最大アクセス許可SCPsを指定します。SCP を組織の root あるいは OU にアタッチすると、SCP はメンバーアカウント内のエントリのアクセス権限を制限します。

許可リストと拒否リスト

許可リストと拒否リストは、アカウントで使用できるアクセス許可SCPsをフィルタリングするために使用できる補足的な戦略です。

  • 許可リスト戦略 – 許可されるアクセスを明示的に指定します。その他のアクセス権限はすべて暗黙的にブロックされます。デフォルトでは、 AWS Organizationsはすべてのルート、 AWS 、および アカウントに呼び出された FullAWSAccess管理ポリシーOUsをアタッチします。これにより、組織を構成する際は、設定しない限り一切ブロックされません。つまり、デフォルトではすべてのアクセス権限が許可されます。アクセス権限を制限する準備ができたら、FullAWSAccess ポリシーを、制限かつ指定された一連の権限のみ使用できるポリシーに変更します。影響を受けるアカウントのユーザーやロールは、IAM ポリシーですべてのアクションを実行できる場合でも、対象アクセスレベルのみ実行できます。ルートのデフォルトポリシーを変更する場合、組織内のアカウントはすべて、制限が適用されます。SCP は、アクセス許可を付与することができず、フィルタ処理のみを行うため、階層の下位レベルで追加し直すことはできません。

  • 拒否リスト戦略 – 許可されないアクセスを明示的に指定します。その他のアクセス権限はすべて有効になります。このシナリオでは、明示的にブロックされる場合を除き、すべてのアクセス権限が有効です。これが AWS Organizations のデフォルトの動作です。デフォルトでは、 AWS Organizationsはすべてのルート、 AWS 、および アカウントに呼び出される FullAWSAccess管理ポリシーOUsをアタッチします。そのため、どのアカウントでも、AWS Organizations– の制限が適用されることなく、サービスやオペレーションにアクセスできます。上記の許可リスト手法とは異なり、拒否リストを使用する場合は、デフォルトの FullAWSAccess ポリシー (「すべて」を許可する) をそのまま使用します。ただしその後、不要なサービスやアクションへのアクセスを明示的に拒否する追加のポリシーをアタッチします。IAM アクセス権限ポリシーを使用するように、サービスアクションを明示的に拒否すると、許可されたアクションも上書きされます。

人工知能 (AI) サービスのオプトアウトポリシー

組織内のすべてのアカウント間で AWSAI サービスのオプトアウト設定を標準化するのに役立つポリシーのタイプ。特定の AWS AI サービスは、Amazon AI サービスおよびテクノロジーの開発と継続的改善を目的として、それらのサービスによって処理されたお客様のコンテンツを保存および使用できます。AWS のお客様は、AI サービスのオプトアウトポリシーを使用して、コンテンツの保存やサービスの改善のための使用を除外することができます。

バックアップポリシー

組織内のすべてのアカウント全体でリソースのバックアップ戦略を標準化し、実装するために役立つポリシーのタイプ。バックアップポリシーでは、リソースのバックアッププランを設定およびデプロイできます。

タグポリシー

組織内のすべてのアカウント間でリソース間でタグを標準化するのに役立つポリシーのタイプ。タグポリシーでは、特定のリソースのタグ付けルールを指定できます。