AWS Organizations とは?

AWS Organizations は、複数の AWS アカウントを組織を作成し、一元管理します。AWS Organizations には、お客様のビジネスの予算、セキュリティ、コンプライアンスのニーズをより適切に満たせるようにアカウント管理および一括請求機能が備わっています。組織の管理者は、組織内にアカウントを作成したり、既存のアカウントを組織に招待して参加させることができます。

このユーザーガイドではAWS Organizations 主要な概念, 提供するのチュートリアル」を参照してください。また、組織の作成と管理。

AWS Organizations 機能

AWS Organizations には以下の機能があります。

AWS アカウントのすべての一元管理

既存のアカウントを組織に結合して、アカウントを一元管理することができます。自動的に組織の一部であるアカウントを作成し、他のアカウントを組織に招待することができます。アカウントの一部または全部に影響するポリシーをアタッチすることもできます。

すべてのメンバーアカウントの一括請求

一括請求は AWS Organizations の機能です。組織の管理アカウントを使用して、すべてのメンバーアカウントの統合と支払いを行うことができます。一括請求 (コンソリデーティッドビリング) では、管理アカウントは、組織のメンバーアカウントの請求情報、アカウントアクティビティにアクセスすることもできます。この情報は、Cost Explorer などのサービスに使用され、管理アカウントが組織のコストパフォーマンスを向上させるのに役立ちます。

予算、セキュリティ、コンプライアンスのニーズを満たすアカウントの階層的なグループ化

アカウントを組織単位 (OU) にグループ化し、各 OU に異なるアクセスポリシーをアタッチすることができます。たとえば、特定の規制要件を満たす AWS サービスにのみアクセスする必要があるアカウントがある場合、それらのアカウントを 1 つの OU に入れることができます。その後、それらの規制要件を満たさないサービスへのアクセスをブロックする OU にポリシーをアタッチすることができます。OU は、他の OU 内に 5 レベルまでネストできるため、アカウントグループを柔軟に構成できます。

各アカウントがアクセスできる AWS サービスと API アクションのコントロールを一元化するためのポリシー

組織の管理アカウントの管理者として、サービスコントロールポリシー (SCP) を使用して、組織内のメンバーアカウントの最大アクセス権限を指定できます。SCP では、各メンバーアカウントのユーザーとロールがどの AWS サービス、リソースおよび個々の API アクションにアクセスできるかを制限することができます。また、AWS のサービス、リソースおよび API アクションへのアクセスをいつ制限するかの条件も定義できます。これらの制限は、組織内のメンバーアカウントの管理者よりも優先されます。AWS Organizations がメンバーアカウントのサービス、リソースまたは API アクションへのアクセスをブロックすると、そのアカウントのユーザーまたはロールはアクセスできません。このブロックは、メンバーアカウントの管理者が IAM ポリシーで明示的にそのようなアクセス許可を付与した場合でも有効なままです。

詳細については、「サービスコントロールポリシー」を参照してください。

組織のアカウント内のリソース間でタグを標準化するためのポリシー

タグポリシーを使用して、タグキーおよびタグ値の大文字と小文字の処理方法の設定など、一貫したタグを維持できます。

詳細については、「タグポリシー」を参照してください。

AWS 人工知能（AI）および機械学習サービスがデータを収集および保存する方法を制御するポリシー。

AI サービスのオプトアウトポリシーを使用して、使用しない AWS AI サービスのデータ収集とストレージをオプトアウトできます。

詳細については、「AI サービスのオプトアウトポリシー」を参照してください。

組織のアカウント内のリソースの自動バックアップを設定するポリシー

バックアップポリシーを使用すると、AWS Backup プランを設定して、組織のすべてのアカウントのリソースに自動的に適用できます。

詳細については、「バックアップポリシー」を参照してください。

AWS Identity and Access Management (IAM) の統合とサポート

IAMは、個々のアカウントのユーザーとロールを細かくコントロールします。AWS Organizations は、アカウントまたはアカウントのグループが実行できるユーザーとロールをコントロールできるようにして、そのコントロールをアカウントレベルに展開します。結果として得られるアクセス許可には、アカウントレベルで AWS Organizations によって許可されるものと、そのアカウント内のユーザーまたはロールレベルで IAM によって明示的に付与されるアクセス許可との論理的な共通部分です。つまり、ユーザーはによって許可されているものだけにアクセスできます両方AWS Organizations ポリシーと IAM ポリシーを参照してください。どちらかがオペレーションをブロックすると、ユーザーはそのオペレーションにアクセスできません。

他の AWS サービスとの統合

選択した AWS サービスで、AWS Organizations で利用できるマルチアカウント管理サービスを利用して、組織のメンバーであるすべてのアカウントでタスクを実行できます。サービスのリストおよび組織全体のレベルにおける各サービスを利用する利点については、「AWS Organizations で使用できる AWS のサービス」を参照してください。

組織のメンバーアカウントで自動的にタスクを実行するために AWS Organizations を有効にすると、AWS Organizations によってIAM サービスにリンクされたロール各メンバーアカウントにそのサービスの. サービスにリンクされたロールには、他の AWS サービスが組織およびそのアカウントで特定のタスクを実行することを許可する事前定義済みの IAM アクセス権限があります。これを機能させるため、組織内のすべてのアカウントにサービスにリンクされたロールが自動的に割り当てられます。このロールは、AWS Organizations サービスが、信頼されたアクセスを有効にする AWS サービスに必要な、サービスにリンクされたロールを作成できるようにします。これらの追加のサービスにリンクされたロールは、指定されたサービスが設定の選択により要求されるタスクのみを実行できるようにする IAM アクセス権限ポリシーにアタッチされます。詳細については、「他の AWS のサービスで AWS Organizations を使用する」を参照してください。

グローバルアクセス

AWS Organizations は、すべての AWS リージョンから機能する 1 つのエンドポイントを備えたグローバルサービスです。操作するリージョンを明示的に選択する必要はありません。

結果的に整合性があるデータのレプリケーション

AWS Organizations は、他の AWS の他の多くのサービスと同様に、結果整合性。AWS Organizations は、リージョン内の AWS のデータセンターに配置された複数のサーバー間でデータを複製することにより、高い可用性を実現します。何らかのデータの変更リクエストが成功すると、変更はコミットされ、安全な場所に保管されます。ただし、変更は複数のサーバー間でレプリケートされる必要があります。詳細については、「変更がすぐに表示されない」を参照してください。

使用料無料

AWS Organizations は、追加料金なしで提供している AWS アカウントの機能です。課金されるのは、組織内のアカウントから他の AWS サービスにアクセスした場合のみです。他の AWS 製品の料金設定については、『』を参照してください。Amazon Web Services 料金表。

AWS Organizations 料金

AWS Organizations は、追加料金なしで提供されます。メンバーアカウントのユーザーとロールが使用する AWS リソースに対してのみ課金されます。たとえば、メンバーアカウントのユーザーまたはロールが使用する Amazon EC2 インスタンスの標準料金が請求されます。他の AWS サービスの料金設定については、「」を参照してください。AWS 料金表。

AWS Organizations へのアクセス

AWS Organizations は、次のいずれかの方法で使用できます。

AWS マネジメントコンソール

AWS Organizations コンソールは、組織と AWS リソースを管理するために使用できるブラウザベースのインターフェイスです。コンソールを使用して、組織内の任意のタスクを実行できます。

AWS コマンドラインツール

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行し、AWS Organizations および AWS タスクを実行できます。コマンドラインを使用すると、コンソールよりも高速かつ便利になります。コマンドラインツールは、AWS タスクを実行するスクリプトを作成する場合にも便利です。

AWS には、2 セットのコマンドラインツールが用意されています。

• AWS コマンドラインインターフェイス（AWS CLI）。AWS CLI のインストールおよび使用の詳細については、『』を参照してください。AWS コマンドラインインターフェイスユーザーガイド。

• AWS Tools for Windows PowerShell。Windows PowerShell 用ツールのインストールおよび使用の詳細については、『AWS Tools for Windows PowerShell ユーザーガイド。

AWS SDK

AWS SDK は、さまざまなプログラミング言語とプラットフォーム (Java、Python、Ruby、.NET、iOS、Android など) のライブラリとサンプルコードで構成されています。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクを処理します。AWS SDK のダウンロードおよびインストール方法の詳細については、「アマゾン ウェブ サービス用ツール」を参照してください。

AWS Organizations HTTPS

AWS Organizations HTTPS クエリ API を使用すると、AWS Organizations および AWS にプログラムでアクセスできます。HTTPS クエリ API を使用すると、HTTPS リクエストを直接サービスに発行できます。HTTPS API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。詳細については、「」を参照してください。HTTP クエリリクエストを作成して API を呼び出すとAWS Organizations API。

AWS Organizations Support とフィードバック

ご意見をお待ちしております。コメントを送信することができますfeedback-awsorganizations@amazon.com。また、にフィードバックと質問を掲載することができますAWS Organizations サポートフォーラム。AWS Support フォーラムの詳細については、「」を参照してください。フォーラムヘルプ。

その他の AWS リソース

• AWS トレーニングとコース – AWS スキルの向上と実践的な経験を積むために、ロールベースの専門コースとセルフペースのラボへのリンクです。

• AWS 開発者用ツール— 開発者用ツールと、AWS を利用した革新的なアプリケーションの構築に役立つ資料、コード例、リリースノート、その他の情報を含むリソースへのリンクです。

• AWS サポートセンター— AWS Support ケースを作成および管理するためのハブです。フォーラム、技術上のよくある質問、サービス状態ステータス、AWS Trusted Advisor などの便利なリソースへのリンクも含まれています。

• AWS サポート— 1 対 1 での迅速な対応を行うSupport チャネルである AWS サポートに関する情報のメインウェブページです。AWS サポートは、クラウド上のアプリケーションの構築および実行を支援します。

• お問い合わせ – AWSの請求、アカウント、イベント、不正行為、およびその他の問題に関するお問い合わせ先です。

• AWS サイトの利用規約 – 当社の著作権、商標、お客様のアカウント、ライセンス、サイトへのアクセス、およびその他のトピックに関する詳細情報です。