組織内のすべての機能の有効化 - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織内のすべての機能の有効化

AWS Organizations には、2 つの利用可能な機能セットがあります。

  • すべての機能— この機能セットはを使用するにあたって、好ましい方法です。AWS Organizationsに含まれており、請求の統合機能が含まれています。組織を作成する際、デフォルトではすべての機能が有効化されています。すべての機能が有効になっている場合、AWS Organizationsなどサポート対象のとの統合AWSサービスおよび組織管理ポリシー

  • 一括請求機能-すべての組織ではこの機能サブセットがサポートされ、これによって組織内のアカウント管理を一元化するために使用できる基本的な管理ツールが提供されます。

一括請求機能のみを使用して組織を作成する場合、後ですべての機能を有効にできます。このページでは、すべての機能を有効にするプロセスについて説明します。

すべての機能を有効にする前に

一括請求のみをサポートする組織からすべての機能をサポートする機能に変更する前に、以下の点に注意してください。

  • すべての機能を有効にするプロセスを開始すると、AWS Organizations は、組織に参加するように招待されたすべてのメンバーアカウントにリクエストを送信します。すべての招待されたアカウントは、すべての機能を有効にするリクエストを受け入れて承認する必要があります。その場合にのみ、プロセスを完了して組織内のすべての機能を有効にします。アカウントがリクエストを拒否した場合は、組織からアカウントを削除するか、リクエストを再送信する必要があります。すべての機能を有効にするプロセスを完了する前に、リクエストを受け入れる必要があります。 を使用した作成済みAWS Organizationsのアカウントは、追加のコントロールを承認する必要がないため、リクエストを取得しません。

  • すべての機能を有効にしながら、組織へのアカウントの招待を続行できます。招待されたアカウントの所有者には、一括請求(コンソリデーティッドビリング)のみの組織に参加しているのか、すべての機能が有効になっているのかが招待によって通知されます。

    • アカウントを招待する場合すべての機能を有効にするプロセスでは、参加している組織ですべての機能が有効になっていることが招待状に表示されます。アカウントが招待を受け入れる前にすべての機能を有効にするプロセスをキャンセルすると、その招待はキャンセルされます。一括請求(コンソリデーティッドビリング)機能のみを使用する組織のメンバーとして、アカウントを再度招待する必要があります。

    • アカウントを招待し、招待がまだ受け入れられていない場合ですべての機能を有効にするプロセスを開始すると、その招待はキャンセルされます。これは、組織が一括請求機能のみを持つことが招待状に記載されたためです。すべての機能が有効な組織のメンバーになるには、アカウントを再度招待する必要があります。

  • 組織内のアカウントの作成を続行することもできます。このプロセスは、この変更の影響を受けません。

  • AWS Organizationsすべてのメンバーアカウントにという名前のサービスにリンクされたロールがあることを検証します。AWSServiceRoleForOrganizations。すべての機能を有効にするには、このロールがすべてのアカウントで必須です。招待したアカウントでこのロールが削除されている場合は、すべての機能を有効にするために招待を承諾するとロールが再作成されます。AWS Organizations を使用して作成されたアカウントでこのロールが削除されている場合は、このロールを再作成するための招待がアカウントに送信されます。組織ですべての機能を有効にする処理を完了するには、これらの招待をすべて受諾する必要があります。

  • すべての機能を有効にすると SCP を使用できるようになるため、アカウントの管理者が組織、組織単位、あるいはアカウントに SCP をアタッチすることの影響を理解していることを確認してください。SCP は、影響を受けるアカウントでユーザーだけではなく管理者が実行できる操作を制限することができます。たとえば、管理アカウントは、メンバーアカウントが組織を離れるのを防ぐ SCP を適用できます。

  • 管理アカウントは SCP の影響を受けません。SCP を適用して、管理アカウントのユーザーとロールが何をできるかを制限することはできません。SCP は、メンバーアカウントのみに影響します。

  • 一括請求からすべての機能への移行は一方向です。すべての機能を有効にした組織を、統合された一括請求機能のみに切り替えることはできません。

  • (推奨されない)組織で一括請求機能のみが有効になっている場合、メンバーアカウントの管理者は、AWSServiceRoleForOrganizations。後で組織ですべての機能を有効にする場合、このロールは必須であり、すべての機能を有効にするには、すべてのアカウントで招待を受諾する一部としてこのロールが再作成されます。AWS Organizations でこのロールを使用する方法については、AWS Organizations とサービスにリンクされたロールを参照してください。

すべての機能を有効にするプロセスの開始

組織の管理アカウントにサインインすると、すべての機能を有効にするプロセスを開始できます。そのためには、以下の手順を完了します。

最小限必要なアクセス権限

組織内のすべての機能を有効にするには、次のアクセス権限が必要です。

  • organizations:EnableAllFeatures

  • organizations:DescribeOrganization— Organizations コンソールを使用する場合にのみ必要

AWS Management Console

招待されたメンバーアカウントに、組織内のすべての機能を有効にすることに同意するよう依頼する

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの []設定ページを選択プロセスを開始

  3. リポジトリの []すべての機能の有効化ページで、[] を選択して切り替えると、一括請求機能のみに戻ることはできないことをご確認ください。プロセスを開始

    AWS Organizations は、組織のすべての招待 (未作成) アカウントに、組織内のすべての機能を有効にするための承認を求めるリクエストを送信します。AWS Organizations を使用して作成され、メンバーアカウント管理者によって AWSServiceRoleForOrganizations という名前のサービスにリンクされたロールが削除されたアカウントがある場合は AWS Organizations からそのアカウントにロールを再作成するリクエストが送信されます。

    コンソールには、承認ステータスをリクエストするリストで招待されたアカウントを選択します。

    ヒント

    後でこのページに戻るには、設定ページ、およびリクエストが送信されましたdateセクションで [] を選択します。ステータスを表示する

  4. -すべての機能の有効化[] ページには、組織内の各アカウントの現在のリクエストのステータスが表示されます。リクエストに同意したアカウントには、ステータスが表示されます。承諾。まだ同意していないアカウントのステータスはOPEN

AWS CLI & AWS SDKs

招待されたメンバーアカウントに、組織内のすべての機能を有効にすることに同意するよう依頼する

組織のすべての機能を有効にするには、次のいずれかのコマンドを使用します。

  • AWS CLI:すべての機能の有効化

    次のコマンドは、組織内のすべての機能を有効にするプロセスを開始します。

    $ aws organizations enable-all-features { "Handshake": { "Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "REQUESTED", "RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00", "ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-a1b2c3d4e5", "Type": "ORGANIZATION" } ] } }

    出力には、招待されたメンバーアカウントが同意する必要があるハンドシェイクの詳細が表示されます。

  • AWSSDK: EnableAllFeatures

Notes
  • リクエストがメンバーアカウントに送信されると、90 日のカウントダウンが開始されます。すべてのアカウントは期間内にリクエストを承認する必要があり、承認されない場合リクエストの有効期限が切れます。リクエストの有効期限が切れると、この試行に関連するすべてのリクエストがキャンセルされ、ステップ 2 から開始する必要があります。

  • すべての機能を有効にするリクエストを出してから、すべてのアカウントが受け入れられるか、タイムアウトが発生するまでの間、組織に参加する他のアカウントの保留中の招待はすべて自動的に取り消されます。すべての機能を有効にするプロセスが終了するまで、新しい招待を発行することはできません。

  • すべての機能を有効化する手順を完了すると、再び組織に参加するようにアカウントを招待することができます。プロセスは変更されませんが、すべての招待には、招待を受け入れると該当するポリシーの対象となることを受信者に知らせる情報が含まれています。

組織内のすべての招待されたアカウントがリクエストを承認したら、プロセスを確定してすべての機能を有効にします。組織に何もない場合は、プロセスをすぐに終了することもできます。招待メンバーアカウント。プロセスをファイナライズするには、すべての機能を有効にするプロセスの最終処理

リクエストを承認してすべての機能を有効にする、またはサービスにリンクされたロールを再作成する

組織の招待されたメンバーアカウントのいずれかのアカウントにサインインすると、管理アカウントからのリクエストを承認できます。アカウントが元は組織に参加するように招待されたものである場合、招待はすべての機能を有効にするものであり、必要に応じた AWSServiceRoleForOrganizations ロールの再作成の黙示的な承認を含んでいます。アカウントが AWS Organizations を使用して作成されたものであり AWSServiceRoleForOrganizations というサービスにリンクされたロールが削除されている場合、このロールの再作成専用の招待が送信されます。そのためには、以下の手順を完了します。

重要

次の手順を実行すると、組織内の管理アカウントはメンバーアカウントにポリシーベースのコントロールを適用できます。これらのコントロールは、ユーザーはもちろん、管理者として自分がアカウント内で実行できることも制限できます。このような制限により、アカウントが組織を離れるのを防ぐことができます。

最小限必要なアクセス権限

メンバーアカウントのすべての機能を有効にするリクエストを承認するには、次のアクセス権限が必要です。

  • organizations:AcceptHandshake

  • organizations:DescribeOrganization— Organizations コンソールを使用する場合にのみ必要

  • organizations:ListHandshakesForAccount— Organizations コンソールを使用する場合にのみ必要

  • iam:CreateServiceLinkedRoleAWSServiceRoleForOrganizationsメンバーアカウントでロールを再作成する必要があります

AWS Management Console

組織内のすべての機能を有効にするためのリクエストに同意するには

  1. にサインインします。AWS OrganizationsコンソールAWS OrganizationsconsoleIAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨メンバーアカウントで).

  2. 組織内のすべての機能のリクエストの受け入れがあなたのアカウントのものであることを確認した後、[Accept] を選択します。このページでは、組織内のすべてのアカウントがリクエストを受け入れ、管理アカウントの管理者がプロセスを確定するまで、プロセスが未完了であると表示され続けます。

AWS CLI & AWS SDKs

組織内のすべての機能を有効にするためのリクエストに同意するには

リクエストに同意するには、"Action": "APPROVE_ALL_FEATURES" でハンドシェイクを承諾する必要があります。

  • AWS CLI:

    次の例は、アカウントで使用できるハンドシェイクの一覧を表示する方法を示しています。の値"Id"は、次のコマンドに必要な値です。

    $ aws organizations list-handshakes-for-account { "Handshakes": [ { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } ] }

    次の例では、前のコマンドのハンドシェイクの ID を使用して、そのハンドシェイクを受け入れます。

    $ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE { "Handshake": { "Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" }, { "Id": "111122223333", "Type": "ACCOUNT" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00", "ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00", "Action": "APPROVE_ALL_FEATURES", "Resources": [ { "Value": "c440da758cab44068cdafc812EXAMPLE", "Type": "PARENT_HANDSHAKE" }, { "Value": "o-aa111bb222", "Type": "ORGANIZATION" }, { "Value": "111122223333", "Type": "ACCOUNT" } ] } }
  • AWSSDK:

すべての機能を有効にするプロセスの最終処理

招待されたメンバーアカウントすべてが全機能を有効にするリクエストを承認する必要があります。組織に招待されたメンバーアカウントがない場合、[Enable all features progress] ページにはプロセスを終了できる緑色のバナーが表示されます。

最小限必要なアクセス権限

組織のすべての機能を有効にするためのプロセスを終了するには、次のアクセス権限が必要です。

  • organizations:AcceptHandshake

  • organizations:ListHandshakesForOrganization

  • organizations:DescribeOrganization— Organizations コンソールを使用する場合にのみ必要

AWS Management Console

すべての機能を有効にするプロセスを終了するには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの []設定ページでは、すべての招待されたアカウントがすべての機能を有効にするリクエストを受け入れた場合、このページの上部に緑色のボックスが表示されます。緑色のボックスで、[] を選択します。FINALIZ

  3. リポジトリの []すべての機能の有効化ページで [] を選択します。FINAL[] を選択し、確認ダイアログボックスで [] を選択します。FINALをクリックします。

  4. 現在、組織は、すべての機能が有効になっています。

AWS CLI & AWS SDKs

すべての機能を有効にするプロセスを終了するには

プロセスを終了するには、["Action": "ENABLE_ALL_FEATURES"] でハンドシェイクを承諾する必要があります。

  • AWS CLI:

    $ aws organizations list-handshakes-for-organization { "Handshakes": [ { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "OPEN", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } ] }

    次の例は、組織で使用可能なハンドシェイクを一覧表示する方法を示しています。の値"Id"は、次のコマンドに必要な値です。

    $ aws organizations accept-handshake \ --handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE { "Handshake": { "Id": "h-43a871103e4c4ee399868fbf2EXAMPLE", "Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE", "Parties": [ { "Id": "a1b2c3d4e5", "Type": "ORGANIZATION" } ], "State": "ACCEPTED", "RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00", "ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00", "Action": "ENABLE_ALL_FEATURES", "Resources": [ { "Value": "o-aa111bb222", "Type": "ORGANIZATION" } ] } }
  • AWSSDK:

次のステップ: