組織内の AWS アカウント の管理
組織は、一元管理する AWS アカウント の集まりです。組織の一部であるアカウントを管理するには、次のタスクを実行します。
-
組織のアカウントの詳細を表示します。アカウントの一意の ID 番号、Amazon リソースネーム (ARN)、アタッチされているポリシーを確認できます。
-
組織のすべての AWS アカウント のリストをエクスポートします。組織内のすべてのアカウントのアカウントの詳細を含む.csv ファイルをダウンロードできます。
-
既存の AWS アカウント を組織に招待します。招待の作成、作成した招待の管理、招待の承認または拒否を行います。
-
組織に属するよう AWS アカウント を作成します。自動的に組織に属するよう AWS アカウント を作成してアクセスします。
-
組織内の代替連絡先を更新します。組織内の AWS アカウント の代替連絡先を更新します。
-
組織から AWS アカウント を削除します。管理アカウントの管理者は、管理が不要になったメンバーアカウントを組織から削除します。メンバーアカウントの管理者として、組織からアカウントを削除します。管理アカウントによってポリシーがメンバーアカウントにアタッチされている場合は、アカウントを削除できない場合があります。
-
AWS アカウント を削除 (または閉鎖) します。AWS アカウント が不要になった場合は、使用量や料金が加算されないよう、アカウントを閉鎖できます。
組織への参加に伴う影響
組織に参加する AWS アカウント への影響
AWS アカウント を組織に招待し、アカウント所有者が招待を受け入れると、その新しいメンバーアカウントには、AWS Organizations によって次の変更が自動的に行われます。
-
AWS Organizations は
AWSServiceRoleForOrganizations
という名前のサービスにリンクされたロールを作成します。組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。このロールを削除した後で組織内のすべての機能を有効にすると、AWS Organizations によってそのアカウントにこのロールが再作成されます。 -
組織のルートや、アカウントを含む OU には、さまざまなポリシーがアタッチされている場合があります。その場合、これらのポリシーは、招待されたアカウントのすべてのユーザーとロールに即座に適用されます。
-
組織に対して、別の AWS サービスのサービス信頼を有効化できます。これを行うと、その信頼されたサービスは、招待されたアカウントを含め、組織内の任意のメンバーアカウントで、サービスにリンクされた役割を作成したり、アクションを実行したりできます。
注記
招待されたメンバーアカウントの場合、AWS Organizations は IAM ロール OrganizationAccountAccessRole を自動的に作成しません。このロールは、メンバーアカウントへの管理アクセスを管理アカウントのユーザーに付与します。招待されたアカウントにこのレベルの管理上のコントロールを有効にする場合は、ロールを手動で追加します。詳細については、「招待されたメンバーアカウントの OrganizationAccountAccessRole の作成」を参照してください。
一括請求 (コンソリデーティッドビリング) 機能のみが有効になっている組織に参加するようアカウントを招待できます。後で組織のすべての機能を有効にする場合は、招待されたアカウントが変更を承認する必要があります。
組織内に作成される AWS アカウント への影響
組織内で AWS アカウント を作成すると、その新しいメンバーアカウントには、AWS Organizations によって次の変更が自動的に行われます。
-
AWS Organizations は
AWSServiceRoleForOrganizations
という名前のサービスにリンクされたロールを作成します。組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。このロールを削除した後で組織内のすべての機能を有効にすると、AWS Organizations によってそのアカウントにこのロールが再作成されます。 -
AWS Organizations は IAM ロール OrganizationAccountAccessRole を作成します。このロールは、新しいメンバーアカウントへのアクセスを管理アカウントに付与します。このロールは削除可能ではあるものの、復旧オプションとして使用できるよう、削除しないでおくことをお勧めします。
-
OU ツリーのルートにアタッチされたポリシーがある場合、それらのポリシーは即時、作成されたアカウントのすべてのユーザーおよびロールに適用されます。新しいアカウントは、デフォルトではルート OU に追加されます。
-
組織で別の AWS サービスのサービスを信頼している場合、その信頼されたサービスでは、サービスにリンクされたロールを作成したり、組織内の任意のメンバーアカウント (作成されたアカウント含む) でアクションを実行したりできます。