組織単位 (OU) の管理

組織単位 (OU) を使用すると、アカウントをまとめてグループ化し、単一のユニットとして管理できます。その結果、アカウントの管理は大幅に簡略化されます。たとえば、OU にポリシーベースのコントロールを添付すると、OU 内のすべてのアカウントが自動的にポリシーを継承します。 OU は、1 つの組織に複数作成することができるため、その他の OU 内にも OU を作成することができます。各 OU には、複数のアカウントを含めることができるだけでなく、OU から別の OU へアカウントを移動することもできます。ただし、OU の名前は、親 OU またはルート内で一意である必要があります。

注記

現在、ルートは 1 つのみ持つことができます。このルートは、はじめて組織を設定する際に AWS Organizations によって作成されます。デフォルトのルートの名前は、「root」です。

組織のアカウントを構成するには、次のタスクを行います。

• OU の詳細の表示

• OU の作成

• OU の名前変更

• OUに添付されたタグを編集

• OU へのアカウント移動またはルートと OU 間のアカウント移動

ルートおよび OU 階層の操作

アカウントの移動またはポリシーのアタッチの際に、別の OU または root に移動するには、ツリービューを使用できます。

組織のツリービューを有効にして使用するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の マスターアカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Organize accounts] タブを選択します。

3. ツリー表示ペインがページの左側に表示されていない場合は、 ツリービュー スイッチアイコン .

4. 最初ツリーには root が表示され、最初のレベルの子 OU のみが表示されます。ツリーを展開してより深いレベルを表示するには、親エンティティの横にある [+] アイコンを選択します。無駄を省いてツリーのブランチを折りたたむには、展開された親エンティティの横にある — アイコンを選択します。

5. 移動先の OU または root を選択します。ツリービューで太字で表示されるノードは、中央ペインで現在表示しているノードです。

Notes

• 中央ペインのオペレーションの名前変更、削除、および移動: コンソールでルートまたは OU の内容を表示すると、そのルートまたは OU の子エンティティと対話できます。たとえば、子 OU またはアカウントのチェックボックスをオンにすると、そのセクションの上にある [Rename]、[Delete]、[Move] リンクを選択してそれらの操作を選択したエンティティで実行できます。この操作は、選択した子エンティティにのみ適用されます。含まれる root または OU には適用されません。含まれる OU に同じ操作を実行するには、OU の親 OU または root に移動し、管理する 子 OU のチェックボックスをオンにします。

• 詳細ペイン: コンソールの右側の詳細ペインには、表示しているルートまたはOUに関する情報が表示されます。子エンティティのチェックボックスを選択すると、詳細ペインが切り替わり、選択されたエンティティに関する情報を表示します。含まれる root または OU の詳細を再度表示するには、チェックボックスをオフにする必要があります。または、親の root か OU に移動して、情報を表示する OU のチェックボックスをオンにします。

ツリービューを使用せずに移動するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の マスターアカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Organize accounts] タブを選択します。

3. 中央ペインに表示する OU (チェックボックスではない) の名前を選択してブランチを下に移動します。

4. 中央のウィンドウのタイトルバーにある戻るボタン (<) を選択して上に移動します。

OU の作成

組織の マスターアカウント組織のルートに OU を作成できます。OU は、最大 5 レベルの深さまでネストできます。OU を作成するには、次のステップを完了します。

重要

この組織が AWS Control Tower次に、 AWS Control Tower コンソールまたはAPI。OUを OrganizationsOUは登録されていません。 AWS Control Tower. 詳細については、以下を参照してください。 の外部でリソースを参照する AWS Control Tower の AWS Control Tower ユーザーガイド.

最小限必要なアクセス権限

組織のルート内に OU を作成するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ).

• organizations:CreateOrganizationalUnit

AWS マネジメントコンソール

OU を作成するには ()

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の マスターアカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

   ルートの内容がコンソールに表示されます。初めてルートにアクセスするときは、コンソールの最上位のビューにすべての AWS アカウントが表示されます。以前に OU を作成してその OU にアカウントを移動している場合、コンソールには最上位の OU と、OU に移動していないアカウントのみ表示されます。

2. (オプション) 既存の OU 内に OU を作成する場合は、子 OU の名前 (チェックボックスではない) を選択する、または、ツリービューで OU を選択して、子 OU に移動します。

3. 階層の適切な場所にいる場合は、[Create organizational unit (OU)] を選択します。

4. の 組織単位を作成 ダイアログ ボックスで、作成するOUの名前を入力し、 +新しい組織単位.

5. 新しいOUの名前を入力します。

6. (オプション) を選択して、1つ以上のタグを追加します。 タグを追加 キーとオプションの値を入力します。値を空白のままにすると、空の文字列に設定されます。 null。 OU には最大 50 個のタグを添付できます。

親 OU 内に新しい OU が作成されます。これで、この OU にアカウントを移動する、またはポリシーをアタッチすることができるようになりました。

AWS CLI, AWS API

OU を作成するには ()

OU を作成するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations create-organizational-unit

• AWS API: CreateOrganizationalUnit

OU の名前変更

組織の マスターアカウントOU の名前を変更できます。そのためには、以下の手順を完了します。

最小限必要なアクセス権限

AWS 組織のルート内にある OU の名前を変更するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ).

• organizations:UpdateOrganizationalUnit

AWS マネジメントコンソール

OU の名前を変更するには ()

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の マスターアカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Organize accounts] タブで、名前を変更する OU の親に移動します。名前を変更する子 OU のチェックボックスをオンにします。

3. OU のリストの上にある [Rename] を選択します。

4. の 組織単位の名前変更 ダイアログボックスで新しい名前を入力し、 組織単位の名前変更.

AWS CLI, AWS API

OU の名前を変更するには ()

OU の名前を変更するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations update-organizational-unit

• AWS API: UpdateOrganizationalUnit

OUに添付されたタグの編集

組織のマスターアカウントにサインインすると、OU に添付されたタグを追加または削除できます。そのためには、以下の手順を完了します。

最小限必要なアクセス権限

ルート内のOUに添付されたタグを編集するには、 AWS 次の権限を持っている必要があります。

• organizations:DescribeOrganization (コンソールのみ) – OUに移動)

• organizations:DescribeOrganizationalUnit (コンソールのみ) – OUに移動)

• organizations:TagResource

• organizations:UntagResource

AWS マネジメントコンソール

OU に添付されたタグを編集するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の マスターアカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. の アカウントを整理する タブ、 OUに移動して選択します 編集したいタグがあります。

3. OUの詳細ペインで、 タグの編集.

4. このページでは、次のアクションを実行できます。

   • 古い値よりも新しい値を入力して、タグの値を編集します。キーは変更できません。キーを変更するには、古いキーでタグを削除し、新しいキーでタグを追加する必要があります。

   • を選択して既存のタグを削除します 削除.

   • 新しいタグキーと値のペアを追加します。選択 タグを追加新しいキー名とオプションの値を、表示されるボックスに入力します。退社する場合 値 ボックスが空です。値は空の文字列です。 null.

5. 選択 変更を保存 追加、削除、編集をすべて行った後。

AWS CLI, AWS API

OU に添付されたタグを編集するには

OU の名前を変更するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws 組織 タグリソース および 組織がリソースにタグを付けない

• AWS API: タグリソース および リソースのタグを解除

OU へのアカウント移動またはルートと OU 間のアカウント移動

組織の マスターアカウントでは、組織内のアカウントをルートから OU に移動したり、OU から別の OU に移動したり、OU からルートに戻ることができます。OU 内にアカウントを作成すると、親 OU や、ルートにつながる他のすべての OU にアタッチされているポリシーが適用されます。OU にアカウントがない場合は、ルートや、アカウントに直接アタッチされているポリシーのみ適用されます。アカウントを移動するには、次の手順を完了します。

最小限必要なアクセス権限

OU 階層の新しい場所にアカウントを移動するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ).

• organizations:MoveAccount

AWS マネジメントコンソール

アカウントを OU に移動するには ()

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の マスターアカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [アカウントの整理] タブを選択し、移動するアカウントが含まれる OU に移動します。アカウントを見つけたら、チェックボックスをオンにします。複数のアカウントを移動する場合は、複数のチェックボックスをオンにします。

3. アカウントのリストの上にある [Move] を選択します。

4. [Move accounts (アカウントの移動)] ダイアログボックスで、アカウントを移動する OU またはルートを選択してから [Select (選択)] を選択します。

AWS CLI, AWS API

アカウントを OU に移動するには ()

アカウントを移動するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations move-account

• AWS API: MoveAccount

OUの削除

組織の マスターアカウント、不要になったOUを削除できます。まず、すべてのアカウントをOUと子OUから移動し、子OUを削除する必要があります。

最小限必要なアクセス権限

OU を削除するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ).

• organizations:DeleteOrganizationalUnit

AWS マネジメントコンソール

OU を削除するには ()

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の マスターアカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Organize accounts] タブで、削除する OU の親コンテナに移動します。OU のチェックボックスをオンにします。複数の OU を削除する場合は、該当するチェックボックスをオンにします。

3. OU のリストの上にある [Delete] を選択します。

   AWS Organizations によって、OU が削除され、リストからも消去されます。

AWS CLI, AWS API

OU を削除するには ()

OU を削除するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations delete-organizational-unit

• AWS API: DeleteOrganizationalUnit