AWS Organizations とは何ですか?

AWS Organizations は、作成し一元管理する組織に、複数の AWS アカウントを統合するためのアカウント管理サービスです。AWS Organizations には、お客様のビジネスの予算、セキュリティ、コンプライアンスのニーズをより適切に満たすアカウント管理および一括請求機能が備わっています。組織の管理者は、組織内にアカウントを作成したり、既存のアカウントを組織に招待して参加させることができます。

このユーザーガイドでは、AWS Organizations の主要な概念を定義して、チュートリアルを提供し、組織を作成して管理する方法について説明します。

AWS Organizations の機能

AWS Organizations には以下の機能があります。

すべての AWS アカウント

既存のアカウントを組織に結合して、アカウントを一元管理することができます。自動的に組織の一部であるアカウントを作成し、他のアカウントを組織に招待することができます。アカウントの一部または全部に影響するポリシーをアタッチすることもできます。

すべてのメンバーアカウントの一括請求

一括請求は AWS Organizations の機能です。[ マスターアカウント すべてのメンバーアカウントを統合し、支払うことができます。一括請求では、 マスターアカウントでは、組織内のメンバーアカウントの請求情報、アカウント情報、アカウントアクティビティにもアクセスできます。この情報は、Cost Explorerなどのサービスに使用され、 マスターアカウントは、組織のコストパフォーマンスを向上させます。

予算、セキュリティ、コンプライアンスのニーズを満たすアカウントの階層的なグループ化

アカウントを組織単位 (OU) にグループ化し、各 OU に異なるアクセスポリシーをアタッチすることができます。たとえば、特定の規制要件を満たす AWS サービスにのみアクセスする必要があるアカウントがある場合、それらのアカウントを 1 つの OU に入れることができます。その後、それらの規制要件を満たさないサービスへのアクセスをブロックする OU にポリシーをアタッチすることができます。ネストできます。 OUs 他の OUs アカウントのグループ構成に柔軟性をもたらします。

管理を一元化するポリシー AWS 各アカウントがアクセスできるサービスおよびAPIアクション

の管理者として、 マスターアカウント では、サービス制御ポリシー (SCP) を使用して、組織内のメンバーアカウントの最大権限を指定できます。イン SCPsでは、 AWS サービス、リソース、および各メンバーアカウント内のユーザーとロールがアクセスできる個々のAPIアクション。また、AWS のサービス、リソースおよび API アクションへのアクセスをいつ制限するかの条件も定義できます。これらの制限は、組織内のメンバーアカウントの管理者よりも優先されます。AWS Organizations がメンバーアカウントのサービス、リソース、または API アクションへのアクセスをブロックすると、そのアカウントのユーザーまたはロールはアクセスできません。このブロックは、メンバーアカウントの管理者が IAM ポリシーで明示的にそのようなアクセス許可を付与した場合でも有効なままです。

詳細については、サービスコントロールポリシー を参照してください。

組織のアカウントのリソース全体でタグを標準化するポリシー

タグポリシーを使用して、タグキーおよびタグ値の大文字と小文字の処理方法の設定など、一貫したタグを維持できます。

詳細については、「タグポリシー」を参照してください

管理方法のポリシー AWS 人工知能(AI)と機械学習サービスによって、データを収集して保存することができます。

以下を使用できます。 AI services opt-out データ収集およびストレージからオプトアウトするポリシーは、 AWS 利用したくないAIサービス。

詳細については、「AI services opt-out ポリシー」を参照してください

組織のアカウントのリソースの自動バックアップを構成するポリシー

バックアップ・ポリシーを使用して、 AWS Backup 計画からユーザーまで、すべての組織のアカウントで管理できます。

詳細については、「バックアップポリシー」を参照してください

のインテグレーションとサポート AWS Identity and Access Management (IAM)

IAM は、個々のアカウントのユーザーとロールを細かくコントロールします。AWS Organizations は、アカウントまたはアカウントのグループが実行できるユーザーとロールをコントロールできるようにして、そのコントロールをアカウントレベルに展開します。結果として得られるアクセス許可は、アカウントレベルで AWS Organizations によって許可されるものと、そのアカウント内のユーザーまたはロールレベルで IAM によって明示的に付与されるアクセス許可との論理的な共通部分です。つまり、ユーザーは AWS Organizations ポリシーと IAM ポリシーの両方で許可されているものだけにアクセスできます。どちらかがオペレーションをブロックすると、ユーザーはそのオペレーションにアクセスできません。

他との統合 AWS サービス

選択した AWS サービスで、AWS Organizations で利用できるマルチアカウント管理サービスを利用して、組織のメンバーであるすべてのアカウントでタスクを実行できます。サービスのリストおよび組織全体のレベルにおける各サービスを利用する利点については、「AWS Organizations で使用できる AWS のサービス」を参照してください。

組織のメンバーアカウントで自動的にタスクを実行するために AWS のサービスを有効にすると、AWS Organizations はメンバーアカウントごとに IAM サービスにリンクされたロールを作成します。このサービスにリンクされたロールには、他の AWS サービスが組織およびそのアカウントで特定のタスクを実行することを許可する IAM アクセス権限が事前定義されています。これを機能させるため、組織内のすべてのアカウントにサービスにリンクされたロールが自動的に割り当てられます。このロールは、AWS Organizations サービスが、信頼されたアクセスを有効にする AWS サービスに必要な、サービスにリンクされたロールを作成できるようにする必要があります。これらの追加のサービスにリンクされたロールには、指定されたサービスが設定の選択により要求されるタスクのみを実行できるポリシーがあります。詳細については、AWS Organizations を AWS の他のサービスと併用する を参照してください。

グローバルアクセス

AWS Organizations は、すべての AWS 地域。事業を行う地域を明示的に選択する必要はありません。

結果的に整合性があるデータのレプリケーション

AWS Organizations には、他の多くの AWS のサービスと同様、結果整合性があります。AWS Organizations は、リージョン内の AWS のデータセンター内の複数のサーバーにデータを複製することにより、高可用性を実現します。何らかのデータの変更リクエストが成功すると、変更はコミットされ、安全な場所に保管されます。ただし、変更は複数のサーバー間でレプリケートされる必要があります。詳細については、変更がすぐに表示されない を参照してください。

使用料無料

AWS Organizations は、あなたの AWS 追加料金なしでアカウントをご利用いただけます。他の AWS 組織内のアカウントからのサービスです。その他のAWS製品の価格については、 Amazon Web Services 価格ページ.

AWS Organizations の料金

AWS Organizations は、追加料金なしで提供されます。メンバーアカウントのユーザーとロールが使用する AWS リソースに対してのみ課金されます。たとえば、メンバーアカウントのユーザーまたはロールが使用する Amazon EC2 インスタンスの標準料金が請求されます。他の AWS サービスの料金設定については、AWS 料金表を参照してください。

AWS Organizations へのアクセス

AWS Organizations は次のいずれかの方法で使用できます。

AWS マネジメントコンソール

AWS Organizations コンソールは、組織と AWS リソースを管理するために使用できるブラウザベースのインターフェイスです。コンソールを使用して、組織内の任意のタスクを実行できます。

AWS コマンドラインツール

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行し、AWS Organizations および AWS タスクを実行できます。コマンドラインを使用すると、コンソールよりも高速かつ便利になります。コマンドラインツールは、AWS のタスクを実行するスクリプトを作成する場合に便利です。

AWS には、2 セットのコマンドラインツールが用意されています。

• AWS コマンドラインインターフェイス (AWS CLI) AWS CLI のインストールおよび使用の詳細については、『AWS Command Line Interface ユーザーガイド』を参照してください。

• AWS Tools for Windows PowerShell. のインストールと使用については、 Tools for Windows PowerShell」を参照してください。 AWS Tools for Windows PowerShell ユーザーガイド.

AWS SDKs

[ AWS SDKs は、さまざまなプログラミング言語とプラットフォーム(Java、Python、Ruby、.NET、iOS、Androidなど)用のライブラリとサンプルコードで構成されています。[ SDKs 暗号化による要求の署名、エラーの管理、要求の再試行などのタスクを自動的に処理します。[ AWS SDKsのダウンロードとインストール方法などについては、を参照してください。 Amazon Web Services 用ツール.

AWS Organizations HTTPSクエリAPI

AWS Organizations HTTPS クエリ API を使用すると、AWS Organizations および AWS にプログラムでアクセスできます。HTTPS クエリ API を使用すると、HTTPS リクエストを直接サービスに発行できます。HTTPS API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。詳細については、「HTTP クエリリクエストを作成して API を呼び出す」および「AWS Organizations API リファレンス」を参照してください。

AWS Organizations のサポートとフィードバック

ご意見をお待ちしております。feedback-awsorganizations@amazon.com にコメントを送信することができます。また、AWS Organizations サポートフォーラムにフィードバックと質問を掲載することができます。AWS サポートフォーラムの詳細については、「フォーラムヘルプ」を参照してください。

その他の AWS リソース

• AWS トレーニングおよびコース – AWS に関するスキルを磨き、実践的経験を積むために役立つ、職務別の特別コースとセルフペースラボへのリンクです。

• AWS 開発者用ツール – AWS を使用して革新的なアプリケーションを構築する際に役立つ、ドキュメント、サンプルコード、リリースノート、その他の情報を提供する開発者用ツールとリソースへのリンクです。

• AWS サポートセンター – AWS サポートケースを作成および管理するためのハブです。また、フォーラム、技術、 FAQs、サービス稼働状態、および AWS 信頼できるアドバイザー。

• AWS サポート – 1 対 1 での迅速な対応を行うサポートチャネルである AWS サポートに関する情報のメインウェブページです。AWS サポートは、クラウド上のアプリケーションの構築および実行を支援します。

• お問い合わせ – AWS の請求、アカウント、イベント、不正行為、他の問題などに関するお問い合わせの受付窓口です。

• AWS サイトの利用規約 – 当社の著作権、商標、お客様のアカウント、ライセンス、サイトへのアクセス、およびその他のトピックに関する詳細情報です。