の管理 AWS アカウント 組織の - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の管理 AWS アカウント 組織の

組織は、 AWS アカウント あなたが一緒に管理していること。組織の一部であるアカウントを管理するには、次のタスクを実行します。

組織内にいることの影響

への影響 AWS アカウント 組織に参加していますか?

招待すると AWS アカウント 組織に参加するには、アカウントの所有者が招待を受け入れると、AWS Organizationsは自動的に新しいメンバーアカウントに対して次の変更を行います。

  • AWS Organizations は AWSServiceRoleForOrganizations という名前のサービスにリンクされたロールを作成します。組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。このロールを削除した後で組織内のすべての機能を有効にすると、AWS Organizations によってそのアカウントにこのロールが再作成されます。

  • アカウントを含む組織ルートまたは組織の OU にアタッチされているさまざまなポリシーがある場合があります。その場合、これらのポリシーは、招待されたアカウントのすべてのユーザーとロールに即座に適用されます。

  • 以下の操作を実行できます。別のサービス信頼を有効にするAWSservice組織の場合。これを行うと、その信頼されたサービスは、招待されたアカウントを含め、組織内の任意のメンバーアカウントで、サービスにリンクされた役割を作成したり、アクションを実行したりできます。

注記

招待されたメンバーアカウントの場合、AWS Organizationsは、自動的に IAM ロールを作成しません。OrganizationAccountAccessRole。このロールは、管理アカウントのユーザーに、メンバアカウントへの管理アクセスを付与します。招待されたアカウントに対してこのレベルの管理上の制御を有効にする場合は、ロールを手動で追加できます。詳細については、「招待されたメンバーアカウントの OrganizationAccountAccessRole の作成」を参照してください。

一括請求 (コンソリデーティッドビリング) 機能のみが有効になっている組織に参加するようアカウントを招待できます。後で組織のすべての機能を有効にする場合は、招待されたアカウントが変更を承認する必要があります。

への影響 AWS アカウント 組織内で作成した

作成すると AWS アカウント 組織のAWS Organizationsは自動的に新しいメンバーアカウントに対して次の変更を行います。

  • AWS Organizations は AWSServiceRoleForOrganizations という名前のサービスにリンクされたロールを作成します。組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。このロールを削除した後で組織内のすべての機能を有効にすると、AWS Organizations によってそのアカウントにこのロールが再作成されます。

  • AWS OrganizationsIAM ロールを作成します。OrganizationAccountAccessRole。このロールは、新しいメンバーアカウントへのアクセス権を管理アカウントに付与します。この役割がすることができます削除する場合は、削除しないことをお勧めします。削除すると、回復オプションとして使用できます。

  • 以下の操作を実行できます。OU ツリーのルートにアタッチされたポリシーをクリックすると、これらのポリシーは、作成されたアカウントのすべてのユーザーとロールに即座に適用されます。新しいアカウントは、デフォルトではルート OU に追加されます。

  • 組織で別の AWS サービスのサービスを信頼している場合、その信頼されたサービスでは、サービスにリンクされたロールを作成したり、組織内の任意のメンバーアカウント (作成されたアカウント含む) でアクションを実行したりできます。