組織単位 (OU) の管理
組織単位 (OU) を使用すると、アカウントをまとめてグループ化し、単一の単位として管理できます。その結果、アカウントの管理は大幅に簡略化されます。たとえば、ポリシーベースの制御を OU に付与すると、OU 内のすべてのアカウントに自動的に OU ポリシーが継承されます。OU は、1 つの組織に複数作成することができるため、その他の OU 内にも OU を作成することができます。各 OU には、複数のアカウントを含めることができるだけでなく、OU から別の OU へアカウントを移動することもできます。ただし、OU の名前は、親 OU またはルート内で一意である必要があります。
組織には 1 つのルートがあり、組織の最初のセットアップ時に AWS Organizations によって自動的に作成されます。
組織のアカウントを構成するには、次のタスクを行います。
ルートおよび OU 階層の操作
アカウントの移動またはポリシーのアタッチの際に、別の OU またはルートに移動するには、デフォルトの「ツリー」ビューを使用します。
- AWS Management Console
-
「ツリー」ビューで組織内を移動するには
-
AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。
-
AWS アカウントページの [Organization] (組織) セクションの上部で [List] (リスト) ではなく、[Hierarchy] (階層) を選択します。
-
初期状態のツリーにはルートと、階層の最初の子 OU およびアカウントのみが表示されます。ツリーを展開してより深い階層を表示するには、親エンティティの横にある展開アイコン (
) を選択します。表示をシンプルにするためにツリーのブランチを折りたたむには、展開された親エンティティの横にある折りたたみアイコン (
) を選択します。
-
詳細の確認や、特定の操作を行うには、OU またはルートの名前を選択します。または、名前の横にあるラジオボタンを選択し、[Actions] (アクション) メニューからエンティティに対する特定の操作を行うこともできます。
組織内のアカウントのみの一覧を表形式ビューで表示することもでき、特定のアカウントを見つけるために逐一 OU に移動する必要はありません。このビューでは、OU の表示や、OU にアタッチされたポリシーの操作はできません。
- AWS Management Console
-
アカウントのフラットリストとして階層なしで組織を表示するには
-
AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。
-
AWS アカウント ページの [Organization] (組織) セクションの上部で、[View AWS アカウント only] (AWS アカウント のみを表示) スイッチアイコンを選択して有効にします。
。
-
アカウントの一覧が階層なしで表示されます。
OU の作成
組織の管理アカウントにサインインすると、組織のルートに OU を作成できます。OU は、最大 5 レベルの深さまでネストできます。OU を作成するには、次のステップを完了します。
組織が AWS Control Tower で管理されている場合は、AWS Control Tower コンソールまたは API を使用して OU を作成します。Organizations で作成した OU は AWS Control Tower に登録されません。詳細については、AWS Control Tower ユーザーガイドの AWS Control Tower 外のリソースを参照するを参照してください。
組織のルート内に OU を作成するには、次のアクセス権限が必要です。
- AWS Management Console
-
OU を作成するには
-
AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。
-
AWS アカウント ページに移動します。
ルート OU とその内容がコンソールに表示されます。初めてルートにアクセスするときは、コンソールの最上位のビューにすべての AWS アカウント が表示されます。以前に OU を作成してその OU にアカウントを移動している場合、コンソールには最上位の OU と、OU に移動していないアカウントのみ表示されます。
-
(オプション) 既存の OU 内に OU を作成する場合は、子 OU に移動します。移動するには、子 OU の名前 (チェックボックスではなく) を選択するか、ツリービューで OU の横の
を選択して目的の OU が表示されるまで展開し、目的の子 OU の名前を選択します。
-
階層内の正しい親 OU を選択したら、[Actions] (アクション) メニューの [Organizational Unit] (組織単位) で [Create new] (新規作成) を選択します。
-
[Create organizational unit] (組織単位の作成) ダイアログボックスで、作成する OU の名前を入力します。
-
(オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力し、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つの OU に最大 50 個のタグをアタッチできます。
-
最後に、[Create organizational unit] (組織単位の作成) を選択します。
親 OU 内に新しい OU が作成されます。これで、この OU にアカウントを移動する、またはポリシーをアタッチすることができるようになりました。
- AWS CLI & AWS SDKs
-
OU を作成するには
OU を作成するには、次のいずれかのコマンドを使用します。
-
AWS CLI: create-organizational-unit
OU を作成するには、まず、新しい OU の親にするルートまたは OU の ID を確認する必要があります。
ルートの ID を確認するには、list-roots コマンドを使用します。OU の ID を確認するには、list-children を使用し、目的の OU を見つけます。
次の例は、ルートの ID、ルートの下の OU の ID を順に確認する方法を示しています。最後のコマンドは、見つけた OU 内に新しい OU を作成する方法を示しています。
$ aws organizations list-roots
{
"Roots": [
{
"Id": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"PolicyTypes": []
}
]
}
$ aws organizations list-children \
--parent-id r-a1b2 \
--child-type ORGANIZATIONAL_UNIT
{
"Children": [
{
"Id": "ou-a1b2-f6g7h111",
"Type": "ORGANIZATIONAL_UNIT"
}
]
}
$ aws organizations create-organizational-unit \
--parent-id ou-a1b2-f6g7h111 \
--name New-Child-OU
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "New-Child-OU"
}
}
-
AWS SDK: CreateOrganizationalUnit
OU の名前変更
組織の管理アカウントにサインインすると、OU の名前を変更することができます。そのためには、以下の手順を完了します。
AWS 組織のルート内にある OU の名前を変更するには、次のアクセス権限が必要です。
- AWS Management Console
-
OU の名前を変更するには
-
AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。
-
AWS アカウントページで、名前を変更する OU に移動し、次のいずれかのステップを実施します。
-
[Rename organizational unit] (組織単位名の変更) ダイアログボックスで新しい名前を入力し、[Save changes] (変更の保存) を選択します。
- AWS CLI & AWS SDKs
-
OU の名前を変更するには
OU の名前を変更するには、次のいずれかのコマンドを使用します。
-
AWS CLI: update-organizational-unit
次の例は、OU の名前を変更する方法を示しています。
$ aws organizations update-organizational-unit \
--organizational-unit-id ou-a1b2-f6g7h222 \
--name "Renamed-OU"
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "Renamed-OU"
}
}
-
AWS SDK: UpdateOrganizationalUnit
OU にアタッチされたタグの編集
組織の管理アカウントにサインインすると、OU にアタッチされるタグを追加または削除できます。そのためには、以下の手順を完了します。
AWS 組織のルート内にある OU にアタッチされたタグを編集するには、次のアクセス許可が必要です。
-
organizations:DescribeOrganization - Organizations コンソールを使用する場合にのみ必要
-
organizations:DescribeOrganizationalUnit - Organizations コンソールを使用する場合にのみ必要
-
organizations:TagResource
-
organizations:UntagResource
- AWS Management Console
-
OU にアタッチされたタグを編集するには
-
AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。
-
AWS アカウント ページで、編集する OU に移動して名前を選択します。
-
OU の詳細ページで、[Tags] (タグ) タブを選択し、[Manage tags] (タグ管理) を選択します。
-
このタブでは次のアクションが実行可能です。
-
古い値に上書きして新しい値を入力し、任意のタグの値を編集します。タグキーは変更できません。キーを変更するには、古いキーを持つタグを削除し、新しいキーを持つタグを追加する必要があります。
-
削除するタグの横にある [Remove] (削除) を選択し、既存のタグを削除します。
-
新しいタグのキーと値のペアを追加します。[Add tag] (タグの追加) を選択し、表示されたボックスに新しいキー名とオプションの値を入力します。[Value] (値) ボックスを空白のままにすると、値は空の文字列に設定され、null にはなりません。
-
必要な追加、削除、編集をすべて終えたら、[Save changes] (変更の保存) を選択します。
- AWS CLI & AWS SDKs
-
OU にアタッチされたタグを編集するには
OU にアタッチされたタグを変更するには、次のいずれかのコマンドを使用します。
-
AWS CLI: tag-resource および untag-resource
次の例では、タグ "Department"="12345" を OU にアタッチしています。Key と Value では大文字と小文字が区別されます。
$ aws organizations tag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tags Key=Department,Value=12345
このコマンドが成功した場合、出力は生成されません。
次の例では、Department タグを OU から削除しています。
$ aws organizations untag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tag-keys Department
このコマンドが成功した場合、出力は生成されません。
-
AWS SDK: TagResource および UntagResource
アカウントの OU への移動と、ルートと OU 間の移動
組織の管理アカウントにサインインすると、ルートと OU の間、または OU どうしの間で組織のアカウントを移動させることができます。OU 内にアカウントを配置すると、親 OU、およびその OU からルートまでの間にあるすべての OU にアタッチされているポリシーが適用されます。OU に属していないアカウントには、ルート、およびそのアカウントに直接アタッチされているポリシーのみが適用されます。アカウントを移動させるには、次のステップを実施します。
OU 階層の新しい場所にアカウントを移動させるには、次のアクセス許可が必要です。
- AWS Management Console
-
アカウントを OU に移動させるには
-
AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。
-
AWS アカウント ページで、移動させるアカウントを見つけます。OU の階層を移動するか、[View AWS アカウント only] (AWS アカウント だけを表示する) を有効にして OU 構造のないフラットリストでアカウントを表示します。アカウントが多い場合、削除対象をすべて見つけるにはリスト下部の [Load more accounts in 'ou-name'] ('ou-name' のアカウントをさらに読み込む) を選択する必要がある場合があります。
-
移動させるアカウントの名前の横にあるチェックボックス
を選択します。
-
[Actions] (アクション) メニューの [AWS アカウント] で、[Move] (移動) を選択します。
-
[Move AWS アカウント] (AWS アカウント の移動) ダイアログボックスで、アカウントの移動先の OU またはルートを見つけて選択し、[Move AWS アカウント] (AWS アカウント の移動) を選択します。
- AWS CLI & AWS SDKs
-
アカウントを OU に移動させるには
アカウントを移動するには、次のいずれかのコマンドを使用します。
-
AWS CLI: move-account
次の例では、AWS アカウント をルートから OU に移動させています。ソースコンテナと宛先コンテナの両方の ID を指定する必要があります。
$ aws organizations move-account \
--account-id 111122223333 \
--source-parent-id r-a1b2 \
--destination-parent-id ou-a1b2-f6g7h111
このコマンドが成功した場合、出力は生成されません。
-
AWS SDK: MoveAccount
OU の削除
組織の管理アカウントにサインインすると、不要になった OU を削除できます。
子 OU を削除するには、まず OU とその子 OU 内のアカウントをすべて移動させる必要があります。
OU を削除するには、次のアクセス権限が必要です。
- AWS Management Console
-
OU を削除するには
-
AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。
-
AWS アカウント ページで、削除する OU を探し、その OU 名の横にあるチェックボックス
をオンにします。
-
[Actions] (アクション) を選択し、[Organizational unit] (組織単位) で [Delete] (削除) を選択します。
-
その OU の削除を確定するには、OU の名前 (削除対象が 1 つだけの場合) または「delete」という文字列 (削除対象が複数ある場合) を入力してから、[Delete] (削除) を選択します。
AWS Organizations によって、OU が削除され、リストからも消去されます。
- AWS CLI & AWS SDKs
-
OU を削除するには
OU を削除するには、次のいずれかのコマンドを使用します。
