組織 AWS アカウント 内の の管理 - AWS Organizations
組織への参加に伴う影響

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織 AWS アカウント 内の の管理

組織は、一緒に AWS アカウント 管理する のコレクションです。組織の一部であるアカウントを管理するには、次のタスクを実行します。

組織への参加に伴う影響

組織 AWS アカウント に参加する への影響

AWS アカウント を組織に招待し、アカウントの所有者が招待を受け入れると、 は新しいメンバーアカウントに対して次の変更 AWS Organizations を自動的に行います。

  • AWS Organizations は、 というサービスにリンクされたロールを作成しますAWSServiceRoleForOrganizations。組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。ロールを削除し、後で組織内のすべての機能を有効にすると、 はアカウントのロール AWS Organizations を再作成します。

  • 組織のルートや、アカウントを含む OU には、さまざまなポリシーがアタッチされている場合があります。その場合、これらのポリシーは、招待されたアカウントのすべてのユーザーとロールに即座に適用されます。

  • 組織の別のサービスの AWS サービス信頼を有効にできます。これを行うと、その信頼されたサービスは、招待されたアカウントを含め、組織内の任意のメンバーアカウントで、サービスにリンクされた役割を作成したり、アクションを実行したりできます。

注記

招待されたメンバーアカウントの場合、IAMロール AWS Organizations は自動的に作成されませんOrganizationAccountAccessRole。このロールは、メンバーアカウントへの管理アクセスを管理アカウントのユーザーに付与します。招待されたアカウントにこのレベルの管理上のコントロールを有効にする場合は、ロールを手動で追加します。詳細については、「招待されたメンバーアカウント OrganizationAccountAccessRole での の作成」を参照してください。

一括請求 (コンソリデーティッドビリング) 機能のみが有効になっている組織に参加するようアカウントを招待できます。後で組織のすべての機能を有効にする場合は、招待されたアカウントが変更を承認する必要があります。

組織で AWS アカウント 作成した への影響

組織 AWS アカウント で を作成すると、 は新しいメンバーアカウントに次の変更 AWS Organizations を自動的に加えます。

  • AWS Organizations は、 というサービスにリンクされたロールを作成しますAWSServiceRoleForOrganizations。組織がすべての機能をサポートする場合、アカウントにはこのロールが必要です。組織が一括請求機能セットのみをサポートしている場合は、ロールは削除できます。ロールを削除し、後で組織内のすべての機能を有効にすると、 はアカウントのロール AWS Organizations を再作成します。

  • AWS Organizations はIAMロール を作成しますOrganizationAccountAccessRole。このロールは、新しいメンバーアカウントへのアクセスを管理アカウントに付与します。このロールは削除可能ではあるものの、復旧オプションとして使用できるよう、削除しないでおくことをお勧めします。

  • OU ツリーのルートにアタッチされたポリシーがある場合、それらのポリシーは即時、作成されたアカウントのすべてのユーザーおよびロールに適用されます。新しいアカウントは、デフォルトではルート OU に追加されます。

  • 組織の別の AWS サービスのサービス信頼を有効にしている場合、その信頼されたサービスは、サービスにリンクされたロールを作成したり、作成したアカウントを含む組織内の任意のメンバーアカウントでアクションを実行したりできます。