組織のメンバーアカウントの閉鎖

組織に不要になったメンバーアカウントがあり、課金を避けたい場合は、このセクションの手順に従って、AWS Organizations コンソール からそのアカウントを閉鎖することができます。AWS Billing Console から AWS アカウント を閉鎖することもできます。詳細については、「AWS 請求ユーザーガイド」の「アカウントの解約」を参照してください。組織ですべての機能が有効にされている場合、アカウントを閉鎖することができます。

注記

組織の管理アカウントを閉鎖するには、まず、組織内のすべてのメンバーアカウントを削除または閉鎖する必要があります。組織内にメンバーアカウントが存在しない場合、管理アカウントを閉鎖すると自動的に組織が削除されます。

メンバーアカウントを閉鎖する前に、保持したいアプリケーションとデータをバックアップします。ナレッジセンターの「AWS アカウントで不要になったアクティブなリソースを確認する方法を教えてください」を確認してください。

アカウントはすぐに AWS アクティビティに使用できなくなります。ただし、ルートユーザーとしてサインインして過去の請求を確認したり、AWS Support に問い合わせたりすることはできます。詳細については、「カスタマーサポートへの請求に関するお問い合わせ」を参照してください。

このトピックは AWS アカウントのみに適用されます。

Amazon.com ショッピングアカウントの閉鎖については、http://www.amazon.com/gp/help/customer/display.html?nodeId=GDK92DNLSGWTV6MP を参照してください。

メンバーアカウントを閉鎖する前に考慮する事項

AWS アカウント を閉鎖する際には、アカウントの閉鎖前に考慮すべき影響がいくつかあります。

• ルートユーザーの E メールアドレスは、アカウントを閉鎖しても再利用できません。

• メンバーアカウントを閉鎖すると、閉鎖後期間が終了するまで、このアカウントは組織から削除されません。閉鎖後期間中、閉鎖したメンバーアカウントは、引き続き組織内のアカウントのクォータに対してカウントされます。

  アカウントがクオーターにカウントされないようにするには、メンバーアカウントを閉鎖する前に組織から削除します。

• 30 日間で閉鎖できるメンバーアカウントは 10% のみです。このクォータは暦月に縛られず、アカウントを閉鎖した時点で開始されます。最初のアカウント閉鎖から 30 日以内に、制限である 10% を超えるアカウントを閉鎖することはできません。アカウントの 10% が 200 を超えていても、閉鎖できる最小のアカウントは 10 で、閉鎖できる最大のアカウント数は 200 です。Organizations のクォータについての詳細は、「AWS Organizations のクォータ」を参照してください。

• AWS Control Tower を使用している場合、アカウントを閉じる前にアカウント管理を解除する必要があります。AWS Control Tower ユーザーガイド」の「Unmanage a member account」(メンバーアカウントの管理を解除する) を参照してください。

• AWS GovCloud (US) アカウントとリンクしている AWS アカウント をお持ちの場合、AWS GovCloud (US) アカウントを閉鎖する前に標準のアカウントを閉鎖する必要があります。閉鎖前の重要な詳細については、「AWS GovCloud (US) ユーザーガイド」の「Closing an AWS GovCloud (US) Account」( アカウントを閉じる) を参照してください。

セキュリティ上推奨されますが、必須ではないベストプラクティス:

ベストプラクティスとして、ジョブの完了に必要な最小限の権限を付与するというセキュリティのベストプラクティスに従って、閉鎖されたアカウントへの参照をすべての IAM アクセス許可およびポリシーから削除することをお勧めします。アカウント閉鎖後に AWS がその ID 番号を再利用することは決してないので、これはセキュリティ上の問題になることはありません。IAM ポリシー内に閉鎖されたアカウントの ID がある場合、IAM Access Analyzer から通知されます。

アカウントを閉鎖してから 90 日経過するまで:

• 閉鎖されたアカウントは、組織内で SUSPENDED 状態と表示されます。

• アカウント閉鎖前に終了していないアクティブなリソースの中には、90 日以内にアカウントを再開することを決定した場合、引き続き課金されるものがある可能性があります。詳細については、ナレッジセンターの「AWS アカウント で不要になったアクティブなリソースを終了するにはどうすればよいですか?」を参照してください。

• ログインして過去の請求書を表示し、AWS Support にアクセスすることができます。

90 日間の猶予期間終了後:

• 閉鎖された AWS アカウント は組織に表示されなくなります。

• AWS アカウント は再稼働の対象ではなくなります。その時点で、アカウントにあったすべての AWS リソースは復元不可能になります。

メンバーアカウントを閉鎖する方法

組織の管理アカウントにサインインすると、組織に属しているメンバーアカウントを閉鎖できます。そのためには、以下の手順を完了します。

AWS Management Console

組織のメンバーアカウントを閉鎖するには

注記

オプションで、Billing and Cost Management コンソールから AWS メンバーアカウントを閉鎖できます。詳細については、「AWS 請求ユーザーガイド」の「アカウントの解約」を参照してください。

1. アカウントを閉じる前に、維持するアプリケーションとデータをバックアップします。ナレッジセンターの「AWS アカウントで不要になったアクティブなリソースを確認する方法を教えてください」を確認してください。

2. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

3. AWS アカウント ページで、閉鎖するメンバーアカウントの名前を探し、選択します。OU の階層を移動するか、OU 構造のないアカウントのフラットリストを表示できます。

4. ページの上部のアカウント名の横にある [Close] (閉じる) をクリックします。「Consolidated Billing」(一括請求) モードの組織では、コンソールに [Close] (閉じる) ボタンは表示されません。

5. 必要なアカウント閉鎖ステートメントをすべて承認するために、各チェックボックスをオンにします。

6. メンバーアカウント ID を入力し、[Close Account] (アカウントの閉鎖) をクリックします。

AWS アカウント を閉鎖すると、そのアカウントを使用して AWS サービスまたはリソースにアクセスできなくなります。閉鎖後期間中に AWS Support に連絡してアカウントを再開できます。詳細については、ナレッジセンターの「閉鎖した AWS アカウント を再度開設するにはどうすればよいですか?」を参照してください。

AWS CLI & AWS SDKs

AWS アカウント を閉鎖するには

次のいずれかのコマンドを使用して AWS アカウントを閉鎖できます。

• AWS CLI: close-account

  $ aws organizations close-account \
      --account-id 123456789012

  このコマンドが成功した場合、出力は生成されません。

• AWS SDK: CloseAccount

メンバーアカウントが閉鎖されないように保護する

メンバーアカウントが誤って閉鎖されないように保護したい場合、IAM ポリシーを作成して、閉鎖されないようにするアカウントを指定することができます。これらのポリシーで保護されているメンバーアカウントは閉鎖されません。SCP では、管理アカウントのプリンシパルに影響しないため、この操作を実行できません。

アカウントの閉鎖を拒否する IAM ポリシーは、次の 2 つの方法のいずれかで作成できます。

• Resource エレメントに arn を含めることにより、ポリシーで保護するアカウントを明示的にリストする。例については、「 このポリシーに記載されているメンバーアカウントが閉鎖されないようにする」を参照してください。

• 個々のアカウントにタグを付けて、アカウントが閉鎖されないようにする。ポリシー内で aws:ResourceTag タググローバル条件キーを使用して、タグを付けたアカウントが閉鎖されないようにします。アカウントにタグを付ける方法については、「Organizations リソースのタグ付け」を参照してください。例については、「タグ付きのメンバーアカウントが閉鎖されないようにする 」を参照してください。

メンバーアカウントが閉鎖されないようにする IAM ポリシーの例

タグ付きのメンバーアカウントが閉鎖されないようにする

管理アカウントの ID に次のポリシーをアタッチできます。このポリシーにより、管理アカウントのプリンシパルは、aws:ResourceTag タググローバル条件キー、AccountType キー、および Critical タグ値がタグ付けされているメンバーアカウントを閉鎖できなくなります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}

このポリシーに記載されているメンバーアカウントが閉鎖されないようにする

管理アカウントの ID に次のポリシーをアタッチできます。このポリシーにより、管理アカウントのプリンシパルは、Resource エレメントで明示的に指定されたメンバーアカウントを閉鎖できなくなります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}