AWS Organizations の用語と概念 - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Organizations の用語と概念

このトピックでは、AWS Organizations の使用開始に役立ついくつかの重要な概念について説明します。

次の図は、基本的な組織を示しています。この組織は、7 つのアカウントで構成されており、そのアカウントは、ルートを親として、4 つの組織単位 (OU) に分類されています。この組織には、複数のポリシーがあり、OU の一部、またはアカウントに直接アタッチされています。これらの各項目の詳細については、このトピックの定義を参照してください。


            基本的な組織の図
組織

1 つの単位として管理できるように、AWS アカウントを 統合するために作成するエンティティ。AWS Organizations コンソールを使用して、組織内のすべてのアカウントを一元的に表示および管理できます。組織には、1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。最上部が ルートの階層ツリーを模擬した構造のアカウントや、ルート下に作られた組織単位を整理できます。各アカウントは、ルートに直接含めるか、階層内の OU のいずれかに配置することができます。組織には、有効にする機能セットによって決定された機能を含みます。

ルート

組織のすべてのアカウントが設定された親コンテナ ポリシーをルートに適用する場合は、組織内のすべての組織単位 (OU)アカウントに適用されます。

注記

現在、ルートは 1 つのみ持つことができます。組織の作成時に、AWS Organizations によって自動的に作成されます。

組織単位 (OU)

コンテナアカウント内部でルート。また、OU は他の OU に含めることもでき、上下反転したツリーのような階層を作成できます。最上部にはルートがあり、下に向かって OU の枝が広がり、先端にはツリーの葉であるアカウントがあります。階層内のノードのいずれかにポリシーをアタッチすると、その配下にあるすべての枝 (OU) や葉 (アカウント) に適用されます。OU は、厳密に親を 1 つ持つことができ、現在、各アカウントを厳密に 1 つの OU のメンバーにすることができます。

アカウント

Organizations アカウントは、標準の AWS アカウント を含んでいるAWSリソースと、それらのリソースにアクセスできる ID の情報を確認できます。

ヒント

あんAWSアカウントはない「ユーザーアカウント」と同じこと。あんAWSユーザーを使用して作成する ID です。AWS Identity and Access Management(IAM) であり、長期的な認証情報を持つ IAM ユーザー、または短期的な認証情報を持つ IAM ロール。1 つのものAWSアカウントには、多数のユーザーとロールを含めることができます。

組織には 2 種類のアカウントがあります。1 つは管理アカウントとして指定されているアカウントと、1 つまたはそれ以上のメンバーアカウントです。

  • -管理アカウント組織を作成するために使用するアカウントです。組織の管理アカウントから、次の操作を実行できます。

    • 組織にアカウントを作成する

    • 組織に他の既存のアカウントを招待する

    • 組織からアカウントを削除する

    • 招待を管理する

    • 組織内のエンティティ (ルート、OU、またはアカウント) にポリシーを適用する

    • サポートされているとの統合を有効にするAWSサービスを使用して、組織内のすべてのアカウントのサービス機能を提供します。

    管理アカウントには、支払人のアカウントメンバーアカウントで発生したすべての料金を支払う責任があります。組織の管理アカウントを変更することはできません。

  • メンバーアカウント組織内の残りのアカウントをすべて構成します。アカウントが組織のメンバーになることができるのは、一度に 1 つのみです。1 つのアカウントにポリシーをアタッチして、そのアカウントのみ制御することができます。

招待

別のアカウント組織に招待するプロセスです。招待は、組織の管理アカウントによってのみ発行できます。招待は、招待されるアカウントに関連付けられたアカウント ID または E メールアドレスに送られます。招待済みのアカウントによって招待が承認されると、そのアカウントが、組織のメンバーアカウントになります。一括請求機能のみのサポートから、組織のすべての機能のサポートへの変更にすべてのメンバーが承認する必要が出てきた場合に、現在のすべてのメンバーアカウントに招待を送信することもできます。招待は、ハンドシェイクを交換するアカウントによって行われます。AWS Organizations コンソールで作業している場合、ハンドシェイクが表示されないことがあります。ただし、AWS CLI または AWS Organizations API を使用する場合は、ハンドシェイクを直接操作する必要があります。

ハンドシェイク

二者間で情報を交換する複数ステップのプロセスです。AWS Organizations の主な用途の 1 つは、invitations の基盤実装として提供することです。ハンドシェイクメッセージは、ハンドシェイクの開始者と受信者の間で受け渡しと応答が行われます。メッセージは、両方の当事者が確実に現在のステータスを把握できる方法で受け渡しされます。また、ハンドシェイクは、一括請求機能のみのサポートから、 で提供されるすべての機能AWS Organizationsのサポートへ組織を変更する際にも使用されます。通常、ハンドシェイクは、AWS Organizations API または AWS CLI などのコマンドラインツールを使用する場合にのみ、直接交換する必要があります。

利用可能な機能セット
  • すべての機能— が使用できるデフォルトの機能セットです。AWS Organizations。一括請求のすべての機能だけでなく、高度な機能を使用して、組織のアカウントを詳細に制御できます。たとえば、すべての機能が有効な場合、組織の管理アカウントは、メンバーアカウントより完全に制御できます。管理アカウントはSCPアカウントのユーザー (ルートユーザーを含む) やロールでアクセスできるサービスおよびアクションを制限します。管理アカウントでは、メンバーアカウントが組織を離れるのを防ぐこともできます。サポートとの統合を有効にすることもできますAWSサービスを使用して、組織内のすべてのアカウントで機能を提供できます。

    すべての機能を有効にして組織を作成するか、組織の設定を一括請求機能 (コンソリデーティッドビリング) のみのサポートからすべての機能のサポートに変更することができます。すべての機能を有効にするには、招待されたすべてのメンバーアカウントで、管理アカウントがプロセスを開始したときに送信される招待を承認し、変更を承認する必要があります。

  • 一括請求— この機能セットは共有課金機能を提供しますが、ないのより高度な機能が含まれていますAWS Organizations。たとえば、他のAWSサービスを使用して組織と統合し、すべてのアカウントで動作するようにします。ポリシーを使用して、異なるアカウントのユーザーやロールが実行できることを制限します。。高度な AWS Organizations 機能を使用するには、組織のすべての機能を有効にする必要があります。

サービスコントロールポリシー (SCP)

ユーザーやロールが、SCP による影響を受けるアカウントで使用できるサービスやアクションを指定するポリシーです。アクセス権限が付与されない点を除き、SCP は IAM アクセス権限ポリシーと類似しています。代わりに、SCP は組織、組織単位 (OU) あるいはアカウントに最大アクセス権限を指定します。SCP を組織の root あるいは OU にアタッチすると、SCP はメンバーアカウント内のエントリのアクセス権限を制限します。

許可リストと拒否リスト

許可リストと拒否リストは、SCP を適用してアカウントで利用できるアクセス許可をフィルタ処理するための補足的な戦略です。

  • リスト戦略を許可— アクセス権限を明示的に指定します。許可されています。その他のアクセス権限はすべて暗黙的にブロックされます。デフォルトでは、AWS Organizations によって、FullAWSAccess と呼ばれる AWS 管理ポリシーがすべてのルート、OU、アカウントにアタッチされます。これにより、組織を構築するときに、希望するまでは何もブロックされません。つまり、デフォルトではすべてのアクセス権限が許可されます。アクセス権限を制限する準備ができたら、replaceFullAWSAccessポリシーと、制限かつ指定された一連の権限のみ使用できるポリシーを使用します。影響を受けるアカウントのユーザーやロールは、IAM ポリシーですべてのアクションを実行できる場合でも、対象アクセスレベルのみ実行できます。ルートのデフォルトポリシーを変更する場合、組織内のアカウントはすべて、制限が適用されます。SCP は、アクセス許可を付与することができず、フィルタ処理のみを行うため、階層の下位レベルで追加し直すことはできません。

  • 拒否リストの方法— アクセス権限を明示的に指定します。ではありません許可されています。その他のアクセス権限はすべて有効になります。このシナリオでは、明示的にブロックされる場合を除き、すべてのアクセス権限が有効です。これが AWS Organizations のデフォルトの動作です。デフォルトでは、AWS Organizations によって、FullAWSAccess と呼ばれる AWS 管理ポリシーがすべてのルート、OU、アカウントにアタッチされます。そのため、どのアカウントでも、AWS Organizations の制限が適用されることなく、サービスやオペレーションにアクセスできます。上記の許可リスト手法とは異なり、拒否リストを使用する場合は、デフォルトの FullAWSAccess ポリシー (「すべて」を許可する) をそのまま使用します。ただしその後、不要なサービスやアクションへのアクセスを明示的に拒否する追加のポリシーをアタッチします。IAM アクセス権限ポリシーを使用するように、サービスアクションを明示的に拒否すると、許可されたアクションも上書きされます。

人工知能(AI)サービスのオプトアウトポリシー

オプトアウト設定を標準化するのに役立つ、ポリシーの一種AWS組織内のすべてのアカウントのAIサービス 一定AWSAI サービスは、Amazon AI サービスやテクノロジーの開発と継続的な改善のために、これらのサービスによって処理されたカスタマーコンテンツを保存して使用することができます。としてAWS顧客の場合、AI サービスのオプトアウトポリシーをクリックして、サービスの改善のためにコンテンツを保存または使用することをオプトアウトします。

Backup ポリシー

組織内のすべてのアカウントのバックアップ戦略を標準化および実装するのに役立つポリシーの一種です。でバックアップポリシーでは、リソースのバックアップ計画を構成および展開できます。

タグポリシー

ポリシーの一種で、組織内のすべてのアカウントのリソース間でタグを標準化するのに役立ちます。タグポリシーでは、特定のリソースのタグ付けルールを指定できます。