組織内のすべての機能の有効化 - AWS Organizations
すべての機能を有効にする前にすべての機能を有効にするプロセスの開始リクエストを承認してすべての機能を有効にする、またはサービスにリンクされたロールを再作成するすべての機能を有効にするプロセスの最終処理

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

組織内のすべての機能の有効化

AWS Organizations には、2 つの利用可能な機能セットがあります。

  • すべての機能 – この機能セットは AWS Organizations を使用するにあたって推奨され、一括請求機能が含まれています。組織を作成する際、デフォルトではすべての機能が有効化されます。すべての機能が有効になっている場合、AWS Organizationsサービスコントロールポリシー (SCP)タグポリシーなど、 で利用できる高度なアカウント管理機能を使用できます。

  • 一括請求機能 – すべての組織ではこの機能サブセットがサポートされ、これによって組織内のアカウント管理を一元化するために使用できる基本的な管理ツールが提供されます。

一括請求機能のみを使用して組織を作成する場合、後ですべての機能を有効にできます。このページでは、すべての機能を有効にするプロセスについて説明します。

すべての機能を有効にする前に

一括請求のみをサポートする組織からすべての機能をサポートする機能に変更する前に、以下の点に注意してください。

  • すべての機能を有効にするプロセスを開始すると、AWS Organizations は、組織に参加するように招待されたすべてのメンバーアカウントにリクエストを送信します。すべての招待されたアカウントは、すべての機能を有効にするリクエストを受け入れて承認する必要があります。その場合にのみ、プロセスを完了して組織内のすべての機能を有効にします。アカウントがリクエストを拒否した場合は、組織からアカウントを削除するか、リクエストを再送信する必要があります。すべての機能を有効にするプロセスを完了する前に、リクエストを受け入れる必要があります。 を使用した作成済みAWS Organizationsのアカウントは、追加のコントロールを承認する必要がないため、リクエストを取得しません。

  • また、組織はすべてのアカウントに AWSServiceRoleForOrganizations という名前のサービスにリンクされたロールがあることを検証します。 このロールは、すべての機能を有効にするためにすべてのアカウントで必須です。招待したアカウントでこのロールが削除されている場合は、すべての機能を有効にするために招待を承諾するとロールが再作成されます。AWS Organizations を使用して作成されたアカウントでこのロールが削除されている場合は、このロールを再作成するための招待がアカウントに送信されます。組織ですべての機能を有効にする処理を完了するには、これらの招待をすべて受諾する必要があります。

  • すべての機能の有効化を進行中、組織内で引き続きアカウントを作成することはできますが、既存のアカウントを組織に参加するように招待することはできません。アカウントを招待するには、すべての機能を有効にするプロセスが完了するまで待つ必要があります。または、プロセスをキャンセルしてすべての機能を有効にし、アカウントを招待してから、プロセスを再起動してすべての機能を有効にすることができます。

  • すべての機能を有効にすると、SCPs を使用できるようになるため、アカウント管理者が、組織、組織単位、またはアカウントに SCPs をアタッチすることの影響を理解していることを確認してください。SCPs は、影響を受けるアカウントでユーザーや管理者が実行できる操作を制限することができます。たとえば、管理アカウント (以前の「マスターアカウント」) は、メンバーアカウントが組織を離れるのを防ぐ SCPs を適用できます。

  • 管理アカウントは SCP の影響を受けません。を適用して、管理アカウントのユーザーとロールの機能を制限することはできません。SCPs はメンバーアカウントにのみ影響します。SCPs

  • 一括請求からすべての機能への移行は一方向です。すべての機能を有効にした組織を、統合された一括請求機能のみに切り替えることはできません。

  • 組織で一括請求機能のみが有効になっている場合、メンバーアカウントの管理者は、AWSServiceRoleForOrganizations という名前のサービスにリンクされたロールを削除することもできます。 ただし、組織ですべての機能を有効にする場合、このロールは必須であり、すべての機能を有効にするために招待を受諾する一部としてすべてのアカウントで再作成されます。AWS Organizations でこのロールを使用する方法については、AWS Organizations とサービスにリンクされたロールを参照してください。

すべての機能を有効にするプロセスの開始

組織の管理アカウントへのアクセス権限でサインインすると、すべての機能を有効にするプロセスを開始できます。そのためには、以下の手順を完了します。

最小限必要なアクセス権限

組織内のすべての機能を有効にするには、次のアクセス権限が必要です。

  • organizations:EnableAllFeatures

AWS マネジメントコンソール

招待されたメンバーアカウントに、組織内のすべての機能を有効にすることに同意するよう依頼する

  1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Settings] タブで、[Begin process to enable all features] を選択します。

  3. [Begin process to enable all features] を選択して切り替えた後は、一括請求機能のみに戻ることはできないことをご確認ください。AWS Organizations は、組織のすべての招待 (未作成) アカウントに、組織内のすべての機能を有効にするための承認を求めるリクエストを送信します。AWS Organizations を使用して作成され、メンバーアカウント管理者によって AWSServiceRoleForOrganizations という名前のサービスにリンクされたロールが削除されたアカウントがある場合は AWS Organizations からそのアカウントにロールを再作成するリクエストが送信されます。

  4. リクエストのステータスを表示するには、[View all feature request approval status] を選択します。

    [All feature request approval status] ページには、組織内の各アカウントの現在のリクエストのステータスが表示されます。リクエストに同意したアカウントには、緑色のチェックマークが付けられ、[Acceptance] の日付が表示されます。まだ同意していないアカウントには黄色の感嘆符のアイコンが表示され、[Open (オープン)] ステータスでリクエストが送信された日付が表示されます。

    注記

    • リクエストがメンバーアカウントに送信されると、90 日のカウントダウンが開始されます。すべてのアカウントは期間内にリクエストを承認する必要があり、承認されない場合リクエストの有効期限が切れます。この試行に関連するすべてのリクエストがキャンセルされると、ステップ 2 から開始する必要があります。

    • すべての機能を有効にするリクエストを出してから、すべてのアカウントが受け入れられるか、タイムアウトが発生するまでの間、組織に参加する他のアカウントの保留中の招待はすべて自動的に取り消されます。すべての機能を有効にするプロセスが終了するまで、新しい招待を発行することはできません。

    • すべての機能を有効化する手順を完了すると、再び組織に参加するようにアカウントを招待することができます。プロセスは変更されませんが、すべての招待には、招待を受け入れると該当するポリシーの対象となることを受信者に知らせる情報が含まれています。

  5. アカウントがリクエストを承認しない場合は、このページでアカウントを選択し、[削除] を選択することができます。これにより、選択されたアカウントのリクエストが取り消され、組織からそのアカウントが削除され、すべての機能を有効にするブロッカーが排除されます。

  6. すべてのアカウントがリクエストを承認したら、プロセスを確定してすべての機能を終了できます。組織に招待されたメンバーアカウントがない場合は、プロセスをすぐに終了することもできます。プロセスを終了するには、コンソールで数回のクリック操作を行うだけです。「すべての機能を有効にするプロセスの最終処理」を参照してください。

AWS CLI, AWS API

招待されたメンバーアカウントに、組織内のすべての機能を有効にすることに同意するよう依頼する

組織のすべての機能を有効にするには、次のいずれかのコマンドを使用します。

リクエストを承認してすべての機能を有効にする、またはサービスにリンクされたロールを再作成する

組織の招待されたメンバーアカウントのいずれかの権限でサインインすると、管理アカウントからのリクエストを承認できます。アカウントが元は組織に参加するように招待されたものである場合、招待はすべての機能を有効にするものであり、必要に応じた AWSServiceRoleForOrganizations ロールの再作成の黙示的な承認を含んでいます。アカウントが AWS Organizations を使用して作成されたものであり AWSServiceRoleForOrganizations というサービスにリンクされたロールが削除されている場合、このロールの再作成専用の招待が送信されます。そのためには、以下の手順を完了します。

重要

次の手順のステップを実行すると、組織内の管理アカウントはメンバーアカウントにポリシーベースのコントロールを適用できます。これらのコントロールは、ユーザーはもちろん、管理者として自分がアカウント内で実行できることも制限できます。このような制限により、アカウントが組織を離れるのを防ぐことができます。

最小限必要なアクセス権限

メンバーアカウントのすべての機能を有効にするリクエストを承認するには、次のアクセス権限が必要です。

  • organizations:AcceptHandshake

  • iam:CreateServiceLinkedRole – メンバーアカウントで AWSServiceRoleForOrganizations ロールを再作成する必要がある場合にのみ必須です

  • organizations:DescribeOrganization コンソールを使用してハンドシェイクを承認する場合にのみ必要です–Organizations

  • organizations:ListHandshakesForOrganization コンソールを使用してハンドシェイクを承認する場合にのみ必要です–Organizations

AWS マネジメントコンソール

組織内のすべての機能を有効にするためのリクエストに同意するには

  1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、またはメンバーアカウントでルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. 組織内のすべての機能のリクエストの受け入れがあなたのアカウントのものであることを確認した後、[Accept] を選択します。このページでは、組織内のすべてのアカウントがリクエストを受け入れ、管理アカウントの管理者がプロセスを確定するまで、プロセスが未完了であると表示され続けます。

AWS CLI, AWS API

組織内のすべての機能を有効にするためのリクエストに同意するには

リクエストに同意するには、"Action": "APPROVE_ALL_FEATURES" でハンドシェイクを承諾する必要があります。

すべての機能を有効にするプロセスの最終処理

招待されたメンバーアカウントすべてが全機能を有効にするリクエストを承認する必要があります。組織に招待されたメンバーアカウントがない場合、[Enable all features progress] ページにはプロセスを終了できる緑色のバナーが表示されます。

最小限必要なアクセス権限

組織のすべての機能を有効にするためのプロセスを終了するには、次のアクセス権限が必要です。

  • organizations:AcceptHandshake

AWS マネジメントコンソール

すべての機能を有効にするプロセスを終了するには

  1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Settings] タブの [ENABLE ALL FEATURES] の下で、[View all feature request approval status] を選択します。

  3. すべてのアカウントがすべての機能を有効にするリクエストを受け入れたら、ページ上部の緑色のボックスで [すべての機能を有効にするプロセスを完了する] を選択します。確認メッセージが表示されたら、[すべての機能を有効にするプロセスを完了する] をもう一度選択します。

  4. 現在、組織は、すべての機能が有効になっています。次のステップでは、使用するポリシータイプを有効にします。その後、ポリシーをアタッチして組織内のアカウントを管理することができます。詳細については、「AWS Organizations ポリシーの管理」を参照してください。

AWS CLI, AWS API

すべての機能を有効にするプロセスを終了するには

プロセスを終了するには、["Action": "ENABLE_ALL_FEATURES"] でハンドシェイクを承諾する必要があります。