「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
組織内のすべての機能の有効化
AWS Organizations には、2 つの利用可能な機能セットがあります。
一括請求機能のみを使用して組織を作成する場合、後ですべての機能を有効にできます。このページでは、すべての機能を有効にするプロセスについて説明します。
すべての機能を有効にする前に
一括請求のみをサポートする組織からすべての機能をサポートする機能に変更する前に、以下の点に注意してください。
-
すべての機能を有効にするプロセスを開始すると、AWS Organizations は、組織に参加するように招待されたすべてのメンバーアカウントにリクエストを送信します。すべての招待されたアカウントは、すべての機能を有効にするリクエストを受け入れて承認する必要があります。その場合にのみ、プロセスを完了して組織内のすべての機能を有効にします。アカウントがリクエストを拒否した場合は、組織からアカウントを削除するか、リクエストを再送信する必要があります。すべての機能を有効にするプロセスを完了する前に、リクエストを受け入れる必要があります。 を使用した作成済みAWS Organizationsのアカウントは、追加のコントロールを承認する必要がないため、リクエストを取得しません。
-
また、組織はすべてのアカウントに
AWSServiceRoleForOrganizations
という名前のサービスにリンクされたロールがあることを検証します。 このロールは、すべての機能を有効にするためにすべてのアカウントで必須です。招待したアカウントでこのロールが削除されている場合は、すべての機能を有効にするために招待を承諾するとロールが再作成されます。AWS Organizations を使用して作成されたアカウントでこのロールが削除されている場合は、このロールを再作成するための招待がアカウントに送信されます。組織ですべての機能を有効にする処理を完了するには、これらの招待をすべて受諾する必要があります。 -
すべての機能の有効化を進行中、組織内で引き続きアカウントを作成することはできますが、既存のアカウントを組織に参加するように招待することはできません。アカウントを招待するには、すべての機能を有効にするプロセスが完了するまで待つ必要があります。または、プロセスをキャンセルしてすべての機能を有効にし、アカウントを招待してから、プロセスを再起動してすべての機能を有効にすることができます。
-
すべての機能を有効にすると、SCPs を使用できるようになるため、アカウント管理者が、組織、組織単位、またはアカウントに SCPs をアタッチすることの影響を理解していることを確認してください。SCPs は、影響を受けるアカウントでユーザーや管理者が実行できる操作を制限することができます。たとえば、管理アカウント (以前の「マスターアカウント」) は、メンバーアカウントが組織を離れるのを防ぐ SCPs を適用できます。
-
管理アカウントは SCP の影響を受けません。を適用して、管理アカウントのユーザーとロールの機能を制限することはできません。SCPs はメンバーアカウントにのみ影響します。SCPs
-
一括請求からすべての機能への移行は一方向です。すべての機能を有効にした組織を、統合された一括請求機能のみに切り替えることはできません。
-
組織で一括請求機能のみが有効になっている場合、メンバーアカウントの管理者は、
AWSServiceRoleForOrganizations
という名前のサービスにリンクされたロールを削除することもできます。 ただし、組織ですべての機能を有効にする場合、このロールは必須であり、すべての機能を有効にするために招待を受諾する一部としてすべてのアカウントで再作成されます。AWS Organizations でこのロールを使用する方法については、AWS Organizations とサービスにリンクされたロールを参照してください。
すべての機能を有効にするプロセスの開始
組織の管理アカウントへのアクセス権限でサインインすると、すべての機能を有効にするプロセスを開始できます。そのためには、以下の手順を完了します。
組織内のすべての機能を有効にするには、次のアクセス権限が必要です。
-
organizations:EnableAllFeatures
リクエストを承認してすべての機能を有効にする、またはサービスにリンクされたロールを再作成する
組織の招待されたメンバーアカウントのいずれかの権限でサインインすると、管理アカウントからのリクエストを承認できます。アカウントが元は組織に参加するように招待されたものである場合、招待はすべての機能を有効にするものであり、必要に応じた
AWSServiceRoleForOrganizations
ロールの再作成の黙示的な承認を含んでいます。アカウントが AWS Organizations を使用して作成されたものであり AWSServiceRoleForOrganizations
というサービスにリンクされたロールが削除されている場合、このロールの再作成専用の招待が送信されます。そのためには、以下の手順を完了します。
次の手順のステップを実行すると、組織内の管理アカウントはメンバーアカウントにポリシーベースのコントロールを適用できます。これらのコントロールは、ユーザーはもちろん、管理者として自分がアカウント内で実行できることも制限できます。このような制限により、アカウントが組織を離れるのを防ぐことができます。
メンバーアカウントのすべての機能を有効にするリクエストを承認するには、次のアクセス権限が必要です。
-
organizations:AcceptHandshake
-
iam:CreateServiceLinkedRole
– メンバーアカウントでAWSServiceRoleForOrganizations
ロールを再作成する必要がある場合にのみ必須です -
organizations:DescribeOrganization
コンソールを使用してハンドシェイクを承認する場合にのみ必要です–Organizations
-
organizations:ListHandshakesForOrganization
コンソールを使用してハンドシェイクを承認する場合にのみ必要です–Organizations
すべての機能を有効にするプロセスの最終処理
招待されたメンバーアカウントすべてが全機能を有効にするリクエストを承認する必要があります。組織に招待されたメンバーアカウントがない場合、[Enable all features progress] ページにはプロセスを終了できる緑色のバナーが表示されます。
組織のすべての機能を有効にするためのプロセスを終了するには、次のアクセス権限が必要です。
-
organizations:AcceptHandshake