「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
組織単位 (OU) の管理
組織単位 (OU) を使用すると、アカウントをまとめてグループ化し、単一のユニットとして管理できます。その結果、アカウントの管理は大幅に簡略化されます。たとえば、ポリシーベースのコントロールを OU にアタッチすると、OU 内のすべてのアカウントが自動的にポリシーを継承します。1 つの組織に複数の を作成し、他の OUs内に作成することもできますOUs。OUs 各 OU には複数のアカウントを含めることができ、OU 間でアカウントを移動することもできます。ただし、OU の名前は、親 OU またはルート内で一意である必要があります。
現在、ルートは 1 つのみ持つことができます。このルートは、はじめて組織を設定する際に AWS Organizations によって作成されます。デフォルトのルートの名前は、「root」です。
組織のアカウントを構成するには、次のタスクを行います。
ルートおよび OU 階層の操作
アカウントの移動OUs時またはポリシーのアタッチ時に別のルートまたは root に移動するには、ツリービューを使用できます。
組織のツリービューを有効にして使用するには
-
AWS Organizations コンソール (https://console.aws.amazon.com/organizations/
) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。 -
[Organize accounts] タブを選択します。
-
ページの左側にツリービューペインが表示されていない場合は、TREE VIEW スイッチアイコン
.
-
最初、ツリーには root が表示され、最初のレベルの子のみが表示されます。OUsツリーを展開してより深いレベルを表示するには、親エンティティの横にある [+] アイコンを選択します。無駄を省いてツリーのブランチを折りたたむには、展開された親エンティティの横にある — アイコンを選択します。
-
移動先の OU または root を選択します。ツリービューで太字で表示されるノードは、中央ペインで現在表示しているノードです。
-
中央ペインの名前変更、削除、移動オペレーション: コンソールで root または OU の内容を表示すると、その root または OU の子エンティティとやり取りできます。たとえば、子 OU またはアカウントのチェックボックスをオンにすると、そのセクションの上にある [Rename]、[Delete]、[Move] リンクを選択してそれらの操作を選択したエンティティで実行できます。この操作は、選択した子エンティティにのみ適用されます。含まれる root または OU には適用されません。含まれる OU に同じ操作を実行するには、OU の親 OU または root に移動し、管理する 子 OU のチェックボックスをオンにします。
-
詳細ペイン: コンソールの右側にある詳細ペインには、表示している root または OU に関する情報が表示されます。子エンティティのチェックボックスを選択すると、詳細ペインが切り替わり、選択されたエンティティに関する情報を表示します。含まれる root または OU の詳細を再度表示するには、チェックボックスをオフにする必要があります。または、親の root か OU に移動して、情報を表示する OU のチェックボックスをオンにします。
ツリービューを使用せずに移動するには
-
AWS Organizations コンソール (https://console.aws.amazon.com/organizations/
) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。 -
[Organize accounts] タブを選択します。
-
中央ペインに表示する OU (チェックボックスではない) の名前を選択してブランチを下に移動します。
-
中央のウィンドウのタイトルバーにある戻るボタン (<) を選択して上に移動します。
OU の作成
組織の管理アカウント (以前の「マスターアカウント」) にサインインすると、組織のルートに OU を作成できます。OUsは、最大 5 レベルの深さまでネストできます。OU を作成するには、次のステップを完了します。
この組織が AWS Control Tower で管理されている場合は、 OUs コンソールまたは AWS Control Towerを使用して を作成しますAPIs。 で OU Organizations を作成する場合、その OU は に登録されませんAWS Control Tower。詳細については、 AWS Control Towerユーザーガイドの「 の外部AWS Control Towerでのリソースの参照」を参照してください。
組織のルート内に OU を作成するには、次のアクセス権限が必要です。
-
organizations:DescribeOrganization
(コンソールのみ) -
organizations:CreateOrganizationalUnit
OU の名前変更
組織の管理アカウントにサインインすると、OU の名前を変更できます。そのためには、以下の手順を完了します。
AWS 組織のルート内にある OU の名前を変更するには、次のアクセス権限が必要です。
-
organizations:DescribeOrganization
(コンソールのみ) -
organizations:UpdateOrganizationalUnit
OU にアタッチされているタグの編集
組織のマスターアカウントにサインインすると、OU にアタッチされたタグを追加または削除できます。そのためには、以下の手順を完了します。
AWS組織のルート内の OU にアタッチされているタグを編集するには、次のアクセス権限が必要です。
-
organizations:DescribeOrganization
(コンソールは OU に移動する場合のみ)– -
organizations:DescribeOrganizationalUnit
(コンソールのみ、OU に移動します)– -
organizations:TagResource
-
organizations:UntagResource
OU へのアカウント移動またはルートと の間のアカウント移動OUs
組織の管理アカウントにサインインすると、ルートから OU へ、OU から別の OU へ、または OU からルートへ、組織のアカウントを移動することができます。OU 内にアカウントを配置すると、親 OU や親ルートにつながるその他のポリシーが適用されます。OUsOU にアカウントがない場合は、ルートや、アカウントに直接アタッチされているポリシーのみ適用されます。アカウントを移動するには、次の手順を完了します。
OU 階層の新しい場所にアカウントを移動するには、次のアクセス権限が必要です。
-
organizations:DescribeOrganization
(コンソールのみ) -
organizations:MoveAccount
OU の削除
組織の管理アカウントにサインインすると、不要OUsになったアカウントを削除することができます。まず、すべてのアカウントを OU OUs と子 から移動する必要がありますOUs。次に子 を削除できます。
OU を削除するには、次のアクセス権限が必要です。
-
organizations:DescribeOrganization
(コンソールのみ) -
organizations:DeleteOrganizationalUnit