組織にメンバーアカウントを作成する

このページでは、AWS Organizations の組織内で AWS アカウント を作成する方法について説明します。AWS の開始方法と 1 つの AWS アカウント の作成方法については、ご利用開始のためのリソースセンターを参照してください。

組織は、一元管理する AWS アカウント の集まりです。組織の一部であるアカウントを管理するには、次の手順を実行します。

• 組織に属する AWS アカウント の作成

• 管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス

重要

• 組織でメンバーアカウントを作成すると、AWS Organizations は AWS Identity and Access Management (IAM) ロール OrganizationAccountAccessRole をメンバーアカウントで自動的に作成します。このロールにより、管理アカウントのユーザーおよびロールがメンバーアカウントを完全に管理コントロールを実行できるようになります。このロールは、メンバーアカウントに適用されるすべてのサービスコントロールポリシー (SCP) の対象となります。

  また、AWS Organizations は OrganizationAccountAccessRole ロールを持つマネージドポリシーをメンバーアカウントに自動的に追加します。これにより、集中管理が可能となり、同じマネージドポリシーに関連付けられた追加アカウントは、ポリシーが更新されるたびに自動的に更新されます。以前は、新しく組織内に作成されたアカウントは、その単一のアカウントにのみ適用されるインラインポリシーが追加されていました。インラインおよびマネージドポリシーの詳細については、「IAM ユーザーガイド」の「マネージドポリシーとインラインポリシー」を参照してください。

  また、AWS Organizations によって AWSServiceRoleForOrganizations という名前の、サービスにリンクされたロールも自動的に作成されます。このロールを使用すると、特定の AWS サービスとの統合が可能です。統合を許可するように他のサービスを設定する必要があります。詳細については、「AWS Organizations とサービスにリンクされたロール」を参照してください。

• この組織が AWS Control Tower で管理されている場合は、AWS Control Tower コンソールまたは API で AWS Control Tower Account Factory を使用し、アカウントを作成します。Organizations でアカウントを作成する場合、そのアカウントは AWS Control Tower には登録されません。詳細については、AWS Control Tower ユーザーガイドの AWS Control Tower 外のリソースを参照するを参照してください。

注記

組織に属するよう作成した AWS アカウント は、自動的に AWS マーケティングメールに登録されることはありません。マーケティングメールを受信するようアカウントをオプトインするには、https://pages.awscloud.com/communication-preferences を参照してください。

組織に属する AWS アカウント の作成

組織の管理アカウントにサインインすると、自動的に組織に属するよう、メンバーアカウントを作成することができます。後述の手順に沿ってアカウントを作成すると、AWS Organizations は次の [主要連絡先] 情報を管理アカウントから新しいメンバーアカウントに自動的にコピーします。

• 電話番号

• 会社名

• ウェブサイトの URL

• Address

また、管理アカウントからコミュニケーション言語とMarketplace の情報 (一部の AWS リージョン のアカウントのベンダー) をコピーします。

注記

スタンドアロンアカウントとして動作するメンバーアカウントについては、必須情報すべてが AWS によって自動的に収集されるわけではありません。組織からメンバーアカウントを削除してスタンドアロンアカウントにするには、削除する前に、そのアカウントの情報を入力する必要があります。詳細については、「メンバーアカウントから組織を退会する」を参照してください。

最小アクセス許可

組織にメンバーアカウントを作成するには、次のアクセス権限が必要です。

• organizations:CreateAccount

• organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要

• iam:CreateServiceLinkedRole (メンバーアカウントに必要なサービスリンクロールを作成できるようにプリンシパル organizations.amazonaws.com に付与されます)。

AWS Management Console

自動的に組織に属するよう AWS アカウント を作成するには

1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

2. AWS アカウント ページで、[Add an AWS アカウント] ( を追加) を選択します。

3. [Add an AWS アカウント] ( を追加) ページで、[Create an AWS アカウント] ( を作成) を選択します (デフォルトで選択されています)。

4. [Create an AWS アカウント] ( を作成) ページの [AWS アカウント name] ( 名) に、アカウントに割り当てる名前を入力します。この名前は、アカウントを組織内の他のアカウントと区別する際に役立ちます。IAM エイリアスや所有者のメールの名前とは異なります。

5. [Email address of the account's owner] (アカウント所有者のメールアドレス) に、アカウントの所有者のメールアドレスを入力します。このメールアドレスは、アカウントのルートユーザーのユーザー名認証情報として使用されるため、すでに別の AWS アカウント と関連付けられているメールアドレスは使用できません。

6. (オプション) 新しいアカウント内に自動で作成される IAM ロールに割り当てる名前を指定します。このロールは、組織の管理アカウントに、新しく作成されたメンバーアカウントへのアクセス許可を付与します。名前を指定しない場合、AWS Organizations はデフォルトの名前、OrganizationAccountAccessRole のロールを付与します。一貫性を保つため、すべてのアカウントでデフォルトの名前を使用することをお勧めします。

   重要

   このロールの名前を忘れないでください。後で、管理アカウントのユーザーおよびロールの新しいアカウントにアクセス権限を付与する際に必要になります。

7. (オプション) [タグ] セクションで、[タグの追加] を選択してキーとオプションの値を入力し、新しいアカウントに 1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのアカウントに最大 50 個のタグをアタッチできます。

8. [Create]AWS アカウント (作成) を選択します。

   • 組織のアカウントクォータを超えたことを示すエラーが表示された場合は、組織にアカウントを追加しようとすると「クォータを超えました」というメッセージが表示される を参照してください。

   • 組織がまだ初期化中であるため、アカウントを追加できないことを示すエラーが表示された場合は 1 時間待ってから、もう一度試してください。

   • AWS CloudTrail ログの情報でアカウントの作成が成功したかどうかを確認することもできます。詳細については、「AWS Organizations でのログ記録とモニタリング」を参照してください。

   • エラーが引き続き発生する場合は、AWS Support までお問い合わせください。

   AWS アカウント ページが表示され、新しいアカウントがリストに追加されます。

9. これで、管理アカウントのユーザーに管理者アクセスを付与する IAM ロールを持つアカウントができました。このアカウントにアクセスするには、組織のメンバーアカウントへのアクセス のステップを実施します。

注記

新しいアカウントを作成すると、AWS Organizations ではまず、ランダムに生成された長く (64 字) 複雑なパスワードをルートユーザーに割り当てます。この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。詳細については、「ルートユーザーとしてのメンバーアカウントへのアクセス」を参照してください。

AWS CLI & AWS SDKs

自動的に組織に属するよう AWS アカウント を作成するには

アカウントを作成するには、次のいずれかのコマンドを使用します。

• AWS CLI: create-account

  $ aws organizations create-account \
      --email susan@example.com \
      --account-name "Production Account"
  {
          "CreateAccountStatus": {
                  "State": "IN_PROGRESS",
                  "Id": "car-examplecreateaccountrequestid111"
          }
  }

  その後、次のコマンドを使用してアカウント作成の状態を確認できます。

  $ aws organizations describe-create-account-status \
      --create-account-request-id car-examplecreateaccountrequestid111
  {
    "CreateAccountStatus": {
      "State": "SUCCEEDED",
      "AccountId": "555555555555",
      "AccountName": "Production account",
      "RequestedTimestamp": 1470684478.687,
      "CompletedTimestamp": 1470684532.472,
      "Id": "car-examplecreateaccountrequestid111"
    }
  }

• AWS SDK: CreateAccount