組織単位 (OU) の管理 - AWS Organizations
ツリーのナビゲートOU の作成OU の名前変更OU にタグを付けるOU の移動OU を削除するには

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織単位 (OU) の管理

組織単位 (OU) を使用すると、アカウントをまとめてグループ化し、単一のユニットとして管理できます。その結果、アカウントの管理は大幅に簡略化されます。たとえば、ポリシーベースの制御を OU に付与すると、OU 内のすべてのアカウントに自動的に OU ポリシーが継承されます。OU は、1 つの組織に複数作成することができるため、その他の OU 内にも OU を作成することができます。各 OU には、複数のアカウントを含めることができるだけでなく、OU から別の OU へアカウントを移動することもできます。ただし、OU の名前は、親 OU またはルート内で一意である必要があります。

注記

組織には1つのルートがあり、AWS Organizations組織を初めてセットアップするときにによって作成されます。

組織のアカウントを構成するには、次のタスクを行います。

アカウントの移動またはポリシーのアタッチの際に、別の OU または root に移動するには、デフォルトの「ツリー」ビューを使用できます。

AWS Management Console

組織を「ツリー」としてナビゲートするには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの [] AWS アカウント ページの上部で、組織セクションで、表示 AWS アカウント のみスイッチアイコンがオンになっているオフ

  3. 最初ツリーにはルートが表示され、最初のレベルの子 OU とアカウントのみが表示されます。ツリーを展開してより深いレベルを表示するには、展開アイコン ( ) は、親エンティティの横にあります。混乱を省いてツリーのブランチを折りたたむには、折りたたむアイコン ( ) を展開した親エンティティの横にあります。

  4. OU またはルートの名前を選択して、その詳細を表示し、特定の操作を実行します。名前の横にあるラジオボタンを選択し、アクションメニュー。

組織内の取引先のみのリストを表形式で表示することもできます。最初に組織内の取引先を検索するために OU に移動する必要はありません。このビューでは、OU を表示したり、OU にアタッチされたポリシーを操作したりすることはできません。

AWS Management Console

階層のない勘定科目のフラットリストとして組織を表示する手順は、次のとおりです。

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの [] AWS アカウント ページの上部で、組織] セクションで、[] を選択します。表示 AWS アカウント のみスイッチアイコンをクリックしてオンにします。

  3. 勘定科目のリストは、階層なしで表示されます。

OU の作成

組織の管理アカウントにサインインすると、組織のルートに OU を作成できます。OU は、最大 5 レベルの深さまでネストできます。OU を作成するには、次のステップを完了します。

重要

この組織がAWS Control Towerを使用してOUを作成し、AWS Control Towerコンソールまたは API を使用します。Organizations で OU を作成した場合、その OU はAWS Control Tower。詳細については、「」を参照してください。の外部でのリソースの参照AWS Control Tower()AWS Control Towerユーザーガイド

最小限必要なアクセス権限

組織のルート内に OU を作成するには、次のアクセス権限が必要です。

  • organizations:DescribeOrganization— Organizations コンソールを使用する場合にのみ必要

  • organizations:CreateOrganizationalUnit

AWS Management Console

OU を作成するには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. [ AWS アカウント ] ページに移動します。

    コンソールに、ルート OU とその内容が表示されます。初めてルートにアクセスするときは、コンソールにはすべての AWS アカウント そのトップレベルビューに表示されます。以前に OU を作成してその OU にアカウントを移動している場合、コンソールには最上位の OU と、OU に移動していないアカウントのみ表示されます。

  3. (オプション) 既存の OU 内に OU を作成する場合は、子 OU に移動する子 OU の名前 (チェックボックスではない) を選択するか、 をクリックし、目的のオブジェクトが表示されるまでツリー表示で OU の名前を選択します。

  4. 階層内の正しい親 OU を選択したら、アクションメニューの [部門名] で、新しいの作成

  5. 組織単位の作成[] ダイアログボックスで、作成する OU の名前を入力します。

  6. (オプション) 1 つ以上のタグを追加するには、タグの追加キーとオプションの値を入力します。値を空白のままにすると、空の文字列に設定されます。null。OU には最大 50 個のタグをアタッチできます。

  7. 最後に、[] を選択します組織単位の作成

親 OU 内に新しい OU が作成されます。これで、この OU にアカウントを移動する、またはポリシーをアタッチすることができるようになりました。

AWS CLI & AWS SDKs

OU を作成するには

OU を作成するには、次のいずれかのコマンドを使用します。

  • AWS CLI:作成-組織単位

    OU を作成するには、まず、新しい OU の親にするルートまたは OU の ID を見つける必要があります。

    ルートのアイデンティティを見つけるには、リストルートコマンド。OU の ID を検索するには、リスト-子目的の OU に移動します。

    次の例は、ルートの ID を検索し、ルートの下の OU の ID を検索する方法を示しています。最後のコマンドは、検出された OU に新しい OU を作成する方法を示しています。

    $ aws organizations list-roots
{
    "Roots": [
        {
            "Id": "r-a1b2",
            "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
            "Name": "Root",
            "PolicyTypes": []
        }
    ]
}
$ aws organizations list-children \
    --parent-id r-a1b2 \
    --child-type ORGANIZATIONAL_UNIT
{
    "Children": [
        {
            "Id": "ou-a1b2-f6g7h111",
            "Type": "ORGANIZATIONAL_UNIT"
        }
    ]
}
$ aws organizations create-organizational-unit \
    --parent-id ou-a1b2-f6g7h111 \
    --name New-Child-OU
{
    "OrganizationalUnit": {
        "Id": "ou-a1b2-f6g7h222",
        "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
        "Name": "New-Child-OU"
    }
}

  • AWSSDK: CreateOrganizationalUnit

OU の名前変更

組織の管理アカウントにサインインすると、OU の名前を変更することができます。そのためには、以下の手順を完了します。

最小限必要なアクセス権限

AWS 組織のルート内にある OU の名前を変更するには、次のアクセス権限が必要です。

  • organizations:DescribeOrganization— Organizations コンソールを使用する場合にのみ必要

  • organizations:UpdateOrganizationalUnit

AWS Management Console

OU の名前を変更するには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの [] AWS アカウント ページで、OU に移動する名前を変更する、のいずれかを実行します。

    • ラジオボタン 名前を変更する OU の横にある [] をクリックします。次に、アクションメニューの [組織単位] で、Rename

    • OU の名前を選択して、OU の詳細ページにアクセスします。次に、ページの上部で、[] を選択します。Rename

  3. 組織単位の名前変更[] ダイアログボックスに新しい名前を入力し、[変更の保存

AWS CLI & AWS SDKs

OU の名前を変更するには

OU の名前を変更するには、次のいずれかのコマンドを使用します。

  • AWS CLI:update-organizations unit

    次の例は、OU の名前を変更する方法を示しています。

    $ aws organizations update-organizational-unit \
    --organizational-unit-id ou-a1b2-f6g7h222 \
    --name "Renamed-OU"
{
    "OrganizationalUnit": {
        "Id": "ou-a1b2-f6g7h222",
        "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
        "Name": "Renamed-OU"
    }
}

  • AWSSDK: UpdateOrganizationalUnit

OU に添付されたタグの編集

組織のマスターアカウントにサインインすると、OU にアタッチされたタグを追加または削除できます。そのためには、以下の手順を完了します。

最小限必要なアクセス権限

ルート内にある OU にアタッチされたタグを編集するにはAWS組織を使用するには、次のアクセス権限が必要です。

  • organizations:DescribeOrganization— Organizations コンソールを使用する場合にのみ必要

  • organizations:DescribeOrganizationalUnit— Organizations コンソールを使用する場合にのみ必要

  • organizations:TagResource

  • organizations:UntagResource

AWS Management Console

OU にアタッチされたタグを編集するには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの [] AWS アカウント ページで、OU の名前に移動して選択します。タグを編集するタグがあります。

  3. OU の詳細ページで、[タグ] タブを選択し、[タグの管理

  4. このタブでは、次のいずれかのアクションを実行できます。

    • 古いタグの上に新しい値を入力して、任意のタグの値を編集します。タグキーを変更することはできません。キーを変更するには、古いキーを持つタグを削除し、新しいキーを持つタグを追加する必要があります。

    • 既存のタグを削除するには、を削除します。リマイブするタグの横にある [] をクリックします。

    • 新しいタグキーと値のペアを追加します。選択タグの追加を選択し、表示されたボックスに新しいキー名とオプション値を入力します。あなたが離れる場合ボックスが空の場合、値は空の文字列です。null

  5. 選択変更の保存必要な追加、削除、および編集をすべて完了した後、

AWS CLI & AWS SDKs

OU にアタッチされたタグを編集するには

OU にアタッチされたタグを変更するには、次のいずれかのコマンドを使用します。

  • AWS CLI:tag-resourceおよびuntag-resource

    次の例では、タグをアタッチします。"Department"="12345"を OU に作成します。なおKeyおよびValue大文字と小文字が区別されます。 

    $ aws organizations tag-resource \
    --resource-id ou-a1b2-f6g7h222 \
    --tags Key=Department,Value=12345

    このコマンドが成功した場合、出力は生成されません。

    次の例では、削除Departmentタグを OU から削除します。 

    $ aws organizations untag-resource \
    --resource-id ou-a1b2-f6g7h222 \
    --tag-keys Department

    このコマンドが成功した場合、出力は生成されません。

  • AWSSDK: TagResourceおよびUntagResource

OU へのアカウント移動またはルートと OU 間のアカウント移動

組織の管理アカウントにサインインすると、ルートと OU 間で組織のアカウントを移動することができます。OU 内にアカウントを作成すると、親 OU や、ルートにつながっているすべての OU にアタッチされているポリシーが適用されます。OU にアカウントがない場合は、ルートや、アカウントに直接アタッチされているポリシーのみ適用されます。アカウントを移動するには、次の手順に従います。

最小限必要なアクセス権限

OU 階層の新しい場所にアカウントを移動するには、次のアクセス権限が必要です。

  • organizations:DescribeOrganization— Organizations コンソールを使用する場合にのみ必要

  • organizations:MoveAccount

AWS Management Console

アカウントを OU に移動するには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの [] AWS アカウント ページで、移動する 1 つまたは複数のアカウントを見つけます。OU 階層をナビゲートするか、表示 AWS アカウント のみをクリックすると、OU 構造のないアカウントのフラットなリストが表示されます。アカウントが多い場合は、選択する必要がある場合があります。より多くのアカウントを 'OU 名'リストの下部で、移動したいものをすべて検索します。

  3. チェックボックスをオンにします。 移動するアカウントの名前の横にある [] をクリックします。

  4. リポジトリの []アクションメニューの [ AWS アカウント ] で、移動

  5. 移動 AWS アカウント [] ダイアログボックスで、アカウントを移動する OU またはルートを選択してから [] を選択します。移動 AWS アカウント

AWS CLI & AWS SDKs

アカウントを OU に移動するには

アカウントを移動するには、次のいずれかのコマンドを使用します。

  • AWS CLI:移動アカウント

    次の例では、 AWS アカウント をルートから OU に変更します。ソースコンテナとデスティネーションコンテナの両方の ID を指定する必要があることに注意してください。 

    $ aws organizations move-account \
    --account-id 111122223333 \
    --source-parent-id r-a1b2 \
    --destination-parent-id ou-a1b2-f6g7h111

    このコマンドが成功した場合、出力は生成されません。

  • AWSSDK: MoveAccount

OU を削除するには

組織の管理アカウントにサインインすると、不要になったOU はすべて削除できます。

子 OU を削除するには、まず OU とその子 OU 内のアカウントをすべて移動する必要があります。

最小限必要なアクセス権限

OU を削除するには、次のアクセス権限が必要です。

  • organizations:DescribeOrganization— Organizations コンソールを使用する場合にのみ必要

  • organizations:DeleteOrganizationalUnit

AWS Management Console

OU を削除するには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの [] AWS アカウント [] ページで、削除する OU を探し、[] チェックボックスをオンにします。 を各 OU の名前の横に入力します。

  3. 選択アクション[]、[] の組織単位] で、削除

  4. OU を削除することを確認するには、OU の名前 (1 つだけ削除する場合) または 'delete' (複数選択した場合) を入力し、削除

    AWS Organizationsによって、OU が削除され、リストからも消去されます。

AWS CLI & AWS SDKs

OU を削除するには

OU を削除するには、次のいずれかのコマンドを使用します。

  • AWS CLI:削除された-組織単位

    次の例は、OU を削除する方法を示しています。

    $ aws organizations delete-organizational-unit \
    --organizational-unit-id ou-a1b2-f6g7h222

    このコマンドが成功した場合、出力は生成されません。

  • AWSSDK: DeleteOrganizationalUnit