組織内の AWS アカウント の管理 - AWS Organizations
組織への参加に伴う影響

組織内の AWS アカウント の管理

組織は、一元管理する AWS アカウント の集まりです。組織の一部であるアカウントを管理するには、次のタスクを実行します。

組織への参加に伴う影響

組織に参加する AWS アカウント への影響

AWS アカウント を組織に招待し、アカウント所有者が招待を受け入れると、その新しいメンバーアカウントには、AWS Organizations によって次の変更が自動的に行われます。

  • AWS Organizations は AWSServiceRoleForOrganizations という名前のサービスにリンクされたロールを作成します。組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。このロールを削除した後で組織内のすべての機能を有効にすると、AWS Organizations によってそのアカウントにこのロールが再作成されます。

  • 組織のルートや、アカウントを含む OU には、さまざまなポリシーがアタッチされている場合があります。その場合、これらのポリシーは、招待されたアカウントのすべてのユーザーとロールに即座に適用されます。

  • 組織に対して、別の AWS サービスのサービス信頼を有効化できます。これを行うと、その信頼されたサービスは、招待されたアカウントを含め、組織内の任意のメンバーアカウントで、サービスにリンクされた役割を作成したり、アクションを実行したりできます。

注記

招待されたメンバーアカウントの場合、AWS Organizations は IAM ロール OrganizationAccountAccessRole を自動的に作成しません。このロールは、メンバーアカウントへの管理アクセスを管理アカウントのユーザーに付与します。招待されたアカウントにこのレベルの管理上のコントロールを有効にする場合は、ロールを手動で追加します。詳細については、「招待されたメンバーアカウントの OrganizationAccountAccessRole の作成」を参照してください。

一括請求 (コンソリデーティッドビリング) 機能のみが有効になっている組織に参加するようアカウントを招待できます。後で組織のすべての機能を有効にする場合は、招待されたアカウントが変更を承認する必要があります。

組織内に作成される AWS アカウント への影響

組織内で AWS アカウント を作成すると、その新しいメンバーアカウントには、AWS Organizations によって次の変更が自動的に行われます。

  • AWS Organizations は AWSServiceRoleForOrganizations という名前のサービスにリンクされたロールを作成します。組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。このロールを削除した後で組織内のすべての機能を有効にすると、AWS Organizations によってそのアカウントにこのロールが再作成されます。

  • AWS Organizations は IAM ロール OrganizationAccountAccessRole を作成します。このロールは、新しいメンバーアカウントへのアクセスを管理アカウントに付与します。このロールは削除可能ではあるものの、復旧オプションとして使用できるよう、削除しないでおくことをお勧めします。

  • OU ツリーのルートにアタッチされたポリシーがある場合、それらのポリシーは即時、作成されたアカウントのすべてのユーザーおよびロールに適用されます。新しいアカウントは、デフォルトではルート OU に追加されます。

  • 組織で別の AWS サービスのサービスを信頼している場合、その信頼されたサービスでは、サービスにリンクされたロールを作成したり、組織内の任意のメンバーアカウント (作成されたアカウント含む) でアクションを実行したりできます。