組織内での AWS アカウント の作成 - AWS Organizations

組織内での AWS アカウント の作成

このページでは、AWS Organizations の組織内でアカウントを作成する方法について説明します。AWS の開始方法と 1 つの AWS アカウント の作成方法については、ご利用開始のためのリソースセンターを参照してください。

組織は、一元管理する AWS アカウント の集まりです。組織の一部であるアカウントを管理するには、次の手順を実行します。

重要
  • 組織内にメンバーアカウントを作成すると、そのメンバーアカウントには AWS Identity and Access Management (IAM) ロールが AWS Organizations によって自動的に作成されます。このロールによって管理アカウント内で IAM ユーザーが有効になり、メンバーアカウントに対する管理上の完全なコントロールを適用するロールがこの IAM ユーザーに継承されます。このロールは、メンバーアカウントに適用されるすべてのサービスコントロールポリシー (SCP) の対象となります。

    また、AWS Organizations によって AWSServiceRoleForOrganizations という名前の、サービスにリンクされたロールも自動的に作成されます。このロールを使用すると、特定の AWS サービスとの統合が可能です。統合を許可するように他のサービスを設定する必要があります。詳細については、AWS Organizations とサービスにリンクされたロール を参照してください。

  • この組織が AWS Control Tower で管理されている場合は、AWS Control Tower コンソールまたは API で AWS Control Tower Account Factory を使用し、アカウントを作成します。Organizations でアカウントを作成する場合、そのアカウントは AWS Control Tower には登録されません。詳細については、AWS Control Tower ユーザーガイドAWS Control Tower 外のリソースを参照するを参照してください。

注記

組織に属するよう作成した AWS アカウント は、自動的に AWS マーケティングメールに登録されることはありません。マーケティングメールを受信するようアカウントをオプトインするには、https://pages.awscloud.com/communication-preferences を参照してください。

組織に属する AWS アカウント の作成

組織の管理アカウントにサインインすると、自動的に組織に属するよう、メンバーアカウントを作成することができます。そのためには、以下の手順を完了します。

後述の手順に沿ってアカウントを作成すると、Organizations は次の情報を管理アカウントから新しいメンバーアカウントに自動的にコピーします。

  • アカウント名

  • 電話番号

  • 会社名

  • 顧客 URL

  • 会社の連絡先メールアドレス

  • コミュニケーション言語

  • Marketplace (一部の AWS リージョン のアカウントのベンダー)

スタンドアロンアカウントとして動作するアカウントについては、必須情報すべてが AWS によって自動的に収集されるわけではありません。組織からアカウントを削除してスタンドアロンアカウントにするには、削除する前に、そのアカウントの情報を入力する必要があります。詳細については、メンバーアカウントとしての組織からの登録解除 を参照してください。

最小限必要なアクセス権限

組織にメンバーアカウントを作成するには、次のアクセス権限が必要です。

  • organizations:CreateAccount

  • organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要

  • iam:CreateServiceLinkedRole (メンバーアカウントに必要なサービスリンクロールを作成できるようにプリンシパル organizations.amazonaws.com に付与されます)。

AWS Management Console

自動的に組織に属するよう AWS アカウント を作成するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. AWS アカウント ページで、[Add an AWS アカウント ] (AWS アカウントを追加する) を選択します。

  3. [Add an AWS アカウント ] (AWS アカウントを追加する) ページで、[Create an AWS アカウント ] (AWS アカウントを作成) を選択します (デフォルトで選択されています)。

  4. [Create an AWS アカウント ] (AWS アカウントを作成) ページの [ AWS アカウント name] (AWS アカウント名) に、アカウントに割り当てる名前を入力します。この名前は、アカウントを組織内の他のアカウントと区別する際に役立ちます。IAM エイリアスや所有者のメールの名前とは異なります。

  5. [Email address of the account's owner] (アカウント所有者のメールアドレス) に、アカウントの所有者のメールアドレスを入力します。このメールアドレスは、アカウントのルートユーザーのユーザー名認証情報として使用されるため、すでに別の AWS アカウント と関連付けられているメールアドレスは使用できません。

  6. (オプション) 新しいアカウント内に自動で作成される IAM ロールに割り当てる名前を指定します。このロールは、組織の管理アカウントに、新しく作成されたメンバーアカウントへのアクセス許可を付与します。名前を指定しない場合、AWS Organizations はデフォルトの名前、OrganizationAccountAccessRole のロールを付与します。一貫性を保つため、すべてのアカウントでデフォルトの名前を使用することをお勧めします。

    重要

    このロールの名前を忘れないでください。後で、管理アカウントの IAM ユーザーに新しいアカウントへのアクセスを付与する際に必要になります。

  7. (オプション) [Add tags] (タグの追加)セクションで、[Add tag] (タグの追加) を選択してキーとオプションの値を入力し、新しいアカウントに 1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのアカウントに最大 50 個のタグをアタッチできます。

  8. [ AWS アカウント の作成] を選択します。

    AWS アカウント ページが表示され、新しいアカウントがリストに追加されます。

  9. これで、管理アカウントのユーザーに管理者アクセスを付与する IAM ロールを持つアカウントができました。このアカウントにアクセスするには、組織のメンバーアカウントへのアクセスと管理 のステップを実施します。

注記

新しいアカウントを作成すると、AWS Organizations ではまず、ランダムに生成された長く (64 字) 複雑なパスワードをルートユーザーに割り当てます。この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。詳細については、ルートユーザーとしてのメンバーアカウントへのアクセス を参照してください。

AWS CLI & AWS SDKs

自動的に組織に属するよう AWS アカウント を作成するには

アカウントを作成するには、次のいずれかのコマンドを使用します。

  • AWS CLI: create-account

    $ aws organizations create-account \ --email susan@example.com \ --account-name "Production Account" { "CreateAccountStatus": { "State": "IN_PROGRESS", "Id": "car-examplecreateaccountrequestid111" } }

    その後、次のコマンドを使用してアカウント作成の状態を確認できます。

    $ aws organizations describe-create-account-status \ --create-account-request-id car-examplecreateaccountrequestid111 { "CreateAccountStatus": { "State": "SUCCEEDED", "AccountId": "555555555555", "AccountName": "Production account", "RequestedTimestamp": 1470684478.687, "CompletedTimestamp": 1470684532.472, "Id": "car-examplecreateaccountrequestid111" } }
  • AWS SDK: CreateAccount