AWS Organizations を使用した組織の作成

自身の AWS アカウントを管理アカウントとして組織を作成できます。組織を作成する際、この組織がすべての機能 (推奨) をサポートする、または一括請求のみをサポートするかを選択できます。デフォルトでは、作成した組織はすべての機能をサポートします。

組織を作成する

組織の作成には、AWS Management Console、AWS CLI のコマンド、SDK API のいずれかを使用します。

最小アクセス許可

現在の AWS アカウントを使用して組織を作成するには、以下のアクセス許可が必要です。

organizations:CreateOrganization
iam:CreateServiceLinkedRole

このアクセス許可は、サービスプリンシパルだけに制限できますorganizations.amazonaws.com。

組織を作成するには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。
デフォルトでは、組織はすべての機能を有効にして作成されます。ただし、次のいずれかのステップを選択できます。
- すべての機能が有効な組織を作成するには、概要ページで [Create an organization] (組織を作成する) を選択します。
- 一括請求 (コンソリデーティッドビリング) 機能のみを持つ組織を作成するには、概要ページの [Create an organization] (組織を作成する) で一括請求 (コンソリデーティッドビリング) 機能を選択してから、[Create an organization] (組織を作成する) を選択します。
オプションの選択を間違えた場合は、すぐに設定ページに移動して [Delete organization] (組織の削除) を選択し、もう一度やり直してください。
組織が作成され、AWS アカウント ページが表示されます。存在するアカウントは管理アカウントのみで、この時点ではルート組織単位 (OU) に保存されています。

必要に応じて、Organizations により、管理アカウントに関連付けられたアドレスに検証メールが自動的に送信されます。検証 E メールの受信には時間がかかる場合があります。24 時間以内に E メールアドレスを検証します。詳細については、「AWS Organizations で E メールアドレスを検証する」を参照してください。管理アカウントのメールアドレスを検証しなくても、組織内に新しいアカウントを作成することは可能です。ただし、既存のアカウントを招待するには、その前にメールの検証が完了している必要があります。

注記
以前にそのアカウントのメールアドレスの検証が行われていた場合は、そのアカウントを使用して組織を作成した際にメールの検証が再度求められることはありません。

次のサンプルコードは、CreateOrganization を使用する方法を説明しています。

.NET

AWS SDK for .NET

注記

GitHub には、その他のリソースもあります。用例一覧を検索し、AWS コード例リポジトリでの設定と実行の方法を確認してください。


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates an organization in AWS Organizations.
    /// </summary>
    public class CreateOrganization
    {
        /// <summary>
        /// Creates an Organizations client object and then uses it to create
        /// a new organization with the default user as the administrator, and
        /// then displays information about the new organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var response = await client.CreateOrganizationAsync(new CreateOrganizationRequest
            {
                FeatureSet = "ALL",
            });

            Organization newOrg = response.Organization;

            Console.WriteLine($"Organization: {newOrg.Id} Main Accoount: {newOrg.MasterAccountId}");
        }
    }

API の詳細については、AWS SDK for .NET API リファレンスの「CreateOrganization」を参照してください。

CLI

AWS CLI

例 1: 新しい組織を作成するには

Bill は、アカウント 111111111111 の認証情報を使用して組織を作成したいと考えています。次の例は、このアカウントが新しい組織のマスターアカウントになることを示しています。Bill は機能セットを指定していないため、新しい組織ではデフォルトですべての機能が有効になり、サービスコントロールポリシーがルート上で有効になります。


aws organizations create-organization

出力には、新しい組織に関する詳細を含む組織オブジェクトが含まれます。


{
        "Organization": {
                "AvailablePolicyTypes": [
                        {
                                "Status": "ENABLED",
                                "Type": "SERVICE_CONTROL_POLICY"
                        }
                ],
                "MasterAccountId": "111111111111",
                "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111",
                "MasterAccountEmail": "bill@example.com",
                "FeatureSet": "ALL",
                "Id": "o-exampleorgid",
                "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid"
        }
}

例 2: 一括決済機能のみを有効にした新しい組織を作成するには

次の例では、一括決済機能のみをサポートする組織を作成します。


aws organizations create-organization --feature-set CONSOLIDATED_BILLING

出力には、新しい組織に関する詳細を含む組織オブジェクトが含まれます。


{
        "Organization": {
                "Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid",
                "AvailablePolicyTypes": [],
                "Id": "o-exampleorgid",
                "MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111",
                "MasterAccountEmail": "bill@example.com",
                "MasterAccountId": "111111111111",
                "FeatureSet": "CONSOLIDATED_BILLING"
        }
}

詳細については、「AWS Organizations ユーザーガイド」の「Creating an Organization」を参照してください。

API の詳細については、AWS CLI コマンドリファレンスの「CreateOrganization」を参照してください。

組織を作成した後、管理アカウントから以下の方法で組織にアカウントを追加できます。

自動的に組織のメンバーアカウントとして追加される AWS アカウントを別途作成する
E メールアドレスを検証後、組織のメンバーアカウントとして参加するよう既存の AWS アカウントを招待する。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

組織全体の管理

E メールアドレスの検証