組織内の AWS アカウントの管理 - AWS Organizations

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

組織内の AWS アカウントの管理

組織は、一緒に管理するAWSアカウントのコレクションです。組織の一部であるアカウントを管理するには、次のタスクを実行します。

組織に所属した場合の影響

組織に参加するAWSアカウントへの影響

AWS アカウントを組織に招待し、そのアカウントの所有者が招待を受け入れると、 AWS Organizations は自動的に新しいメンバーアカウントに次の変更を加えます。

  • AWS Organizations は という名前のサービスにリンクされたロールを作成します。AWSServiceRoleForOrganizations組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。このロールを削除した後で組織内のすべての機能を有効にすると、AWS Organizations によってそのアカウントにこのロールが再作成されます。

  • 組織のルートまたはアカウントを含む OU にアタッチされているさまざまなポリシーがある場合があります。その場合、これらのポリシーは、招待されたアカウントのすべてのユーザーとロールに即座に適用されます。

  • 組織の別のサービスのサービスAWS信頼を有効にすることができます。これを行うと、その信頼されたサービスは、招待されたアカウントを含め、組織内の任意のメンバーアカウントで、サービスにリンクされた役割を作成したり、アクションを実行したりできます。

注記

招待されたメンバーアカウントの場合、AWS Organizations は IAMOrganizationAccountAccessRole ロールを自動的に作成しません。このロールは、管理アカウントのユーザーに、メンバーアカウントへの管理アクセスを付与します。招待されたアカウントに対してそのレベルの管理コントロールを有効にする場合は、手動でロールを追加できます。詳細については、「 」を参照してください招待されたメンバーアカウントの OrganizationAccountAccessRole の作成

一括請求 (コンソリデーティッドビリング) 機能のみが有効になっている組織に参加するようアカウントを招待できます。後で組織のすべての機能を有効にする場合は、招待されたアカウントが変更を承認する必要があります。

組織内で作成したAWSアカウントへの影響

組織内で AWS アカウントを作成すると、AWS Organizations は自動的に新しいメンバーアカウントに以下の変更を加えます。

  • AWS Organizations は という名前のサービスにリンクされたロールを作成します。AWSServiceRoleForOrganizations組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。このロールを削除した後で組織内のすべての機能を有効にすると、AWS Organizations によってそのアカウントにこのロールが再作成されます。

  • AWS Organizations は IAMOrganizationAccountAccessRole ロールを作成します。このロールは、管理アカウントに新しいメンバーアカウントへのアクセスを許可します。このロールは削除できますが、復旧オプションとして使用できるように削除しないことをお勧めします。

  • OU ツリーのルートにアタッチされたポリシーがある場合、それらのポリシーは即時、作成されたアカウントのすべてのユーザーとロールに適用されます。新しいアカウントは、デフォルトではルート OU に追加されます。

  • 組織で別の AWS サービスのサービスを信頼している場合、その信頼されたサービスでは、サービスにリンクされたロールを作成したり、組織内の任意のメンバーアカウント (作成されたアカウント含む) でアクションを実行したりできます。