組織単位 (OU) の管理

組織単位 (OU) を使用すると、アカウントをまとめてグループ化し、単一のユニットとして管理できます。その結果、アカウントの管理は大幅に簡略化されます。たとえば、ポリシーベースのコントロールを OU にアタッチすると、OU 内のすべてのアカウントが自動的にポリシーを継承します。1 つの組織に複数の を作成し、他の OUs内に作成することもできますOUs。OUs 各 OU には複数のアカウントを含めることができ、OU 間でアカウントを移動することもできます。ただし、OU の名前は、親 OU またはルート内で一意である必要があります。

注記

現在、ルートは 1 つのみ持つことができます。このルートは、はじめて組織を設定する際に AWS Organizations によって作成されます。デフォルトのルートの名前は、「root」です。

組織のアカウントを構成するには、次のタスクを行います。

• OU の詳細の表示

• OU の作成

• OU の名前変更

• OU にアタッチされているタグを編集する

• OU へのアカウント移動またはルートと の間のアカウント移動 OUs

ルートおよび OU 階層の操作

アカウントの移動OUs時またはポリシーのアタッチ時に別のルートまたは root に移動するには、ツリービューを使用できます。

組織のツリービューを有効にして使用するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Organize accounts] タブを選択します。

3. ページの左側にツリービューペインが表示されていない場合は、TREE VIEW スイッチアイコン .

4. 最初、ツリーには root が表示され、最初のレベルの子のみが表示されます。OUsツリーを展開してより深いレベルを表示するには、親エンティティの横にある [+] アイコンを選択します。無駄を省いてツリーのブランチを折りたたむには、展開された親エンティティの横にある — アイコンを選択します。

5. 移動先の OU または root を選択します。ツリービューで太字で表示されるノードは、中央ペインで現在表示しているノードです。

Notes

• 中央ペインの名前変更、削除、移動オペレーション: コンソールで root または OU の内容を表示すると、その root または OU の子エンティティとやり取りできます。たとえば、子 OU またはアカウントのチェックボックスをオンにすると、そのセクションの上にある [Rename]、[Delete]、[Move] リンクを選択してそれらの操作を選択したエンティティで実行できます。この操作は、選択した子エンティティにのみ適用されます。含まれる root または OU には適用されません。含まれる OU に同じ操作を実行するには、OU の親 OU または root に移動し、管理する 子 OU のチェックボックスをオンにします。

• 詳細ペイン: コンソールの右側にある詳細ペインには、表示している root または OU に関する情報が表示されます。子エンティティのチェックボックスを選択すると、詳細ペインが切り替わり、選択されたエンティティに関する情報を表示します。含まれる root または OU の詳細を再度表示するには、チェックボックスをオフにする必要があります。または、親の root か OU に移動して、情報を表示する OU のチェックボックスをオンにします。

ツリービューを使用せずに移動するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Organize accounts] タブを選択します。

3. 中央ペインに表示する OU (チェックボックスではない) の名前を選択してブランチを下に移動します。

4. 中央のウィンドウのタイトルバーにある戻るボタン (<) を選択して上に移動します。

OU の作成

組織の管理アカウント (以前の「マスターアカウント」) にサインインすると、組織のルートに OU を作成できます。OUsは、最大 5 レベルの深さまでネストできます。OU を作成するには、次のステップを完了します。

重要

この組織が AWS Control Tower で管理されている場合は、 OUs コンソールまたは AWS Control Towerを使用して を作成しますAPIs。 で OU Organizations を作成する場合、その OU は に登録されませんAWS Control Tower。詳細については、 AWS Control Towerユーザーガイドの「 の外部AWS Control Towerでのリソースの参照」を参照してください。

最小限必要なアクセス権限

組織のルート内に OU を作成するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ)

• organizations:CreateOrganizationalUnit

AWS マネジメントコンソール

OU を作成するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

   ルートの内容がコンソールに表示されます。初めてルートにアクセスするときは、コンソールの最上位のビューにすべての AWS アカウントが表示されます。以前にアカウントを作成OUsしてそのアカウントに移動した場合、コンソールには最上位のアカウントOUsと、OU に移動していないアカウントのみ表示されます。

2. (オプション) 既存の OU 内に OU を作成する場合は、子 OU の名前 (チェックボックスではない) を選択する、または、ツリービューで OU を選択して、子 OU に移動します。

3. 階層の適切な場所にいる場合は、[Create organizational unit (OU)] を選択します。

4. [Create organizational unit (組織単位の作成)] ダイアログボックスで、作成する OU の名前を入力し、[+New organizational unit (+新しい組織単位)] を選択します。

5. 新しい OU の名前を入力します。

6. (オプション) [タグの追加] を選択し、キーとオプションの値を入力することで、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列に設定されますnullが、 に設定されません。 OU には最大 50 個のタグをアタッチできます。

親 OU 内に新しい OU が作成されます。これで、この OU にアカウントを移動する、またはポリシーをアタッチすることができるようになりました。

AWS CLI, AWS API

OU を作成するには

OU を作成するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations create-organizational-unit

• AWSAPI:CreateOrganizationalUnit

OU の名前変更

組織の管理アカウントにサインインすると、OU の名前を変更できます。そのためには、以下の手順を完了します。

最小限必要なアクセス権限

AWS 組織のルート内にある OU の名前を変更するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ)

• organizations:UpdateOrganizationalUnit

AWS マネジメントコンソール

OU の名前を変更するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Organize accounts] タブで、名前を変更する OU の親に移動します。名前を変更する子 OU のチェックボックスをオンにします。

3. のリストの上にある [名前の変更OUs] を選択します。

4. [Rename organizational unit (組織単位の名前の変更)] ダイアログボックスで、新しい名前を入力し、[Rename organizational unit (組織単位の名前変更)] を選択します。

AWS CLI, AWS API

OU の名前を変更するには

OU の名前を変更するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations update-organizational-unit

• AWSAPI:UpdateOrganizationalUnit

OU にアタッチされているタグの編集

組織のマスターアカウントにサインインすると、OU にアタッチされたタグを追加または削除できます。そのためには、以下の手順を完了します。

最小限必要なアクセス権限

AWS組織のルート内の OU にアタッチされているタグを編集するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization(コンソールは OU に移動する場合のみ)–

• organizations:DescribeOrganizationalUnit(コンソールのみ、OU に移動します)–

• organizations:TagResource

• organizations:UntagResource

AWS マネジメントコンソール

OU にアタッチされているタグを編集するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [アカウントの整理] タブで、タグを編集する OU に移動して選択します。

3. OU の詳細ペインで、[Edit TAGS (タグの編集)] を選択します。

4. このページではこれらのアクションのいずれかを実行できます。

   • 古いタグに新しい値を入力して、タグの値を編集します。キーを変更することはできません。キーを変更するには、古いキーを含むタグを削除し、新しいキーを持つタグを追加する必要があります。

   • [削除] を選択して、既存のタグを削除します。

   • 新しいタグのキーと値のペアを追加します。[タグの追加] を選択し、新しいキー名とオプションの値を表示されるボックスに入力します。[Value] ボックスを空のままにした場合、値は空の文字列であり、 ではありませんnull。

5. 実行する追加、削除、編集をすべて行ったら、[変更の保存] を選択します。

AWS CLI, AWS API

OU にアタッチされているタグを編集するには

OU の名前を変更するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations tag-resource および aws organizations untag-resource

• AWS API: TagResourceおよびUntagResource

OU へのアカウント移動またはルートと の間のアカウント移動OUs

組織の管理アカウントにサインインすると、ルートから OU へ、OU から別の OU へ、または OU からルートへ、組織のアカウントを移動することができます。OU 内にアカウントを配置すると、親 OU や親ルートにつながるその他のポリシーが適用されます。OUsOU にアカウントがない場合は、ルートや、アカウントに直接アタッチされているポリシーのみ適用されます。アカウントを移動するには、次の手順を完了します。

最小限必要なアクセス権限

OU 階層の新しい場所にアカウントを移動するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ)

• organizations:MoveAccount

AWS マネジメントコンソール

アカウントを OU に移動するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [アカウントの整理] タブを選択し、移動するアカウントが含まれる OU に移動します。アカウントを見つけたら、チェックボックスをオンにします。複数のアカウントを移動する場合は、複数のチェックボックスをオンにします。

3. アカウントのリストの上にある [Move] を選択します。

4. [Move accounts (アカウントの移動)] ダイアログボックスで、アカウントを移動する OU またはルートを選択してから [Select (選択)] を選択します。

AWS CLI, AWS API

アカウントを OU に移動するには

アカウントを移動するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations move-account

• AWSAPI:MoveAccount

OU の削除

組織の管理アカウントにサインインすると、不要OUsになったアカウントを削除することができます。まず、すべてのアカウントを OU OUs と子 から移動する必要がありますOUs。次に子 を削除できます。

最小限必要なアクセス権限

OU を削除するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ)

• organizations:DeleteOrganizationalUnit

AWS マネジメントコンソール

OU を削除するには

1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Organize accounts] タブで、削除する OU の親コンテナに移動します。OU のチェックボックスをオンにします。複数のチェックボックスを選択して削除OUsする場合、複数名のチェックボックスを選択できます。

3. のリストの上にある [削除] を選択しますOUs。

   AWS Organizations によって、OU が削除され、リストからも消去されます。

AWS CLI, AWS API

OU を削除するには

OU を削除するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations delete-organizational-unit

• AWSAPI:DeleteOrganizationalUnit