組織単位 (OU) の管理

組織単位 (OU) を使用すると、アカウントをまとめてグループ化し、単一のユニットとして管理できます。その結果、アカウントの管理は大幅に簡略化されます。たとえば、ポリシーベースの制御を OU に付与すると、OU 内のすべてのアカウントに自動的に OU ポリシーが継承されます。OU は、1 つの組織に複数作成することができるため、その他の OU 内にも OU を作成することができます。各 OU には、複数のアカウントを含めることができるだけでなく、OU から別の OU へアカウントを移動することもできます。ただし、OU の名前は、親 OU またはルート内で一意である必要があります。

注記

現在、ルートは 1 つのみ持つことができます。このルートは、はじめて組織を設定する際に AWS Organizations によって作成されます。デフォルトのルートの名前は、「root」です。

組織のアカウントを構成するには、次のタスクを行います。

• OU の詳細の表示

• OU の作成

• OU の名前変更

• OU へのアカウント移動またはルートと OU 間のアカウント移動

ルートおよび OU 階層の操作

アカウントの移動またはポリシーのアタッチの際に、別の OU または root に移動するには、ツリービューを使用できます。

組織のツリービューを有効にして使用するには

1. https://console.aws.amazon.com/organizations/ で Organizations コンソールにサインインします。

2. [Organize accounts] タブを選択します。

3. ページの左側にツリービューペインが表示されていない場合は、[TREE VIEW] スイッチアイコン を選択します。

4. 最初ツリーには root が表示され、最初のレベルの子 OU のみが表示されます。ツリーを展開してより深いレベルを表示するには、親エンティティの横にある [+] アイコンを選択します。無駄を省いてツリーのブランチを折りたたむには、展開された親エンティティの横にある — アイコンを選択します。

5. 移動先の OU または root を選択します。ツリービューで太字で表示されるノードは、中央ペインで現在表示しているノードです。

コメント

• 中央ペインでの名前の変更、削除、移動オペレーション: コンソールで root または OU の内容を表示すると、root または OU の子エンティティで操作できます。たとえば、子 OU またはアカウントのチェックボックスをオンにすると、そのセクションの上にある [Rename]、[Delete]、[Move] リンクを選択してそれらの操作を選択したエンティティで実行できます。この操作は、選択した子エンティティにのみ適用されます。含まれる root または OU には適用されません。含まれる OU に同じ操作を実行するには、OU の親 OU または root に移動し、管理する 子 OU のチェックボックスをオンにします。

• 詳細ペイン: コンソールの右側にある詳細ペインには root または OU に関する情報が表示されます。子エンティティのチェックボックスを選択すると、詳細ペインが切り替わり、選択されたエンティティに関する情報を表示します。含まれる root または OU の詳細を再度表示するには、チェックボックスをオフにする必要があります。または、親の root か OU に移動して、情報を表示する OU のチェックボックスをオンにします。

ツリービューを使用せずに移動するには

1. https://console.aws.amazon.com/organizations/ で Organizations コンソールにサインインします。

2. [Organize accounts] タブを選択します。

3. 中央ペインに表示する OU (チェックボックスではない) の名前を選択してブランチを下に移動します。

4. 中央のウィンドウのタイトルバーにある戻るボタン (<) を選択して上に移動します。

OU の作成

組織のマスターアカウントにサインインすると、組織のルートに OU を作成できます。OU は、最大 5 レベルの深さまでネストできます。OU を作成するには、次のステップを完了します。

最小限必要なアクセス権限

組織のルート内に OU を作成するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ)

• organizations:CreateOrganizationalUnit

OU を作成するには (コンソール)

1. https://console.aws.amazon.com/organizations/ で Organizations コンソールにサインインします。 組織のマスターアカウントで IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

   ルートの内容がコンソールに表示されます。初めてルートにアクセスするときは、コンソールの最上位のビューにすべての AWS アカウントが表示されます。以前に OU を作成してその OU にアカウントを移動している場合、コンソールには最上位の OU と、OU に移動していないアカウントのみ表示されます。

2. (オプション) 既存の OU 内に OU を作成する場合は、子 OU の名前 (チェックボックスではない) を選択する、または、ツリービューで OU を選択して、子 OU に移動します。

3. 階層の適切な場所にいる場合は、[Create organizational unit (OU)] を選択します。

4. [Create organizational unit] ダイアログボックスで、作成する OU の名前を入力し、[Create organizational unit] を選択します。

   親 OU 内に新しい OU が作成されます。これで、この OU にアカウントを移動する、またはポリシーをアタッチすることができるようになりました。

OU を作成するには (AWS CLI、AWS API)

OU を作成するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations create-organizational-unit

• AWS API: CreateOrganizationalUnit

OU の名前変更

組織のマスターアカウントにサインインすると、OU の名前を変更することができます。そのためには、以下の手順を完了します。

最小限必要なアクセス権限

AWS 組織のルート内にある OU の名前を変更するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ)

• organizations:UpdateOrganizationalUnit

OU の名前を変更するには (コンソール)

1. https://console.aws.amazon.com/organizations/ で Organizations コンソールにサインインします。 組織のマスターアカウントで IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

2. [Organize accounts] タブで、名前を変更する OU の親に移動します。名前を変更する子 OU のチェックボックスをオンにします。

3. OU のリストの上にある [Rename] を選択します。

4. [Rename organizational unit] ダイアログボックスで、新しい名前を入力してから、[Rename organizational unit] を選択します。

OU の名前を変更するには (AWS CLI、AWS API)

OU の名前を変更するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations update-organizational-unit

• AWS API: UpdateOrganizationalUnit

OU へのアカウント移動またはルートと OU 間のアカウント移動

組織のマスターアカウントにサインインすると、ルートと OU の間、または OU 間で組織のアカウントを移動することができます。OU 内にアカウントを作成すると、親 OU や、ルートにつながる他のすべての OU にアタッチされているポリシーが適用されます。OU にアカウントがない場合は、ルートや、アカウントに直接アタッチされているポリシーのみ適用されます。アカウントを移動するには、次の手順を完了します。

最小限必要なアクセス権限

OU 階層の新しい場所にアカウントを移動するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ)

• organizations:MoveAccount

アカウントを OU に移動するには (コンソール)

1. https://console.aws.amazon.com/organizations/ で Organizations コンソールにサインインします。 組織のマスターアカウントで IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

2. [アカウントの整理] タブを選択し、移動するアカウントが含まれる OU に移動します。アカウントを見つけたら、チェックボックスをオンにします。複数のアカウントを移動する場合は、複数のチェックボックスをオンにします。

3. アカウントのリストの上にある [Move] を選択します。

4. [Move accounts (アカウントの移動)] ダイアログボックスで、アカウントを移動する OU またはルートを選択してから [Select (選択)] を選択します。

アカウントを OU に移動するには (AWS CLI、AWS API)

アカウントを移動するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations move-account

• AWS API: MoveAccount

不要になった OU の削除

組織のマスターアカウントにサインインすると、不要になった OU を削除できます。子 OU を削除するには、まず OU とその子 OU 内のアカウントをすべて移動する必要があります。

最小限必要なアクセス権限

OU を削除するには、次のアクセス権限が必要です。

• organizations:DescribeOrganization (コンソールのみ)

• organizations:DeleteOrganizationalUnit

OU を削除するには (コンソール)

1. https://console.aws.amazon.com/organizations/ で Organizations コンソールにサインインします。 組織のマスターアカウントで IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

2. [Organize accounts] タブで、削除する OU の親コンテナに移動します。OU のチェックボックスをオンにします。複数の OU を削除する場合は、該当するチェックボックスをオンにします。

3. OU のリストの上にある [Delete] を選択します。

   AWS Organizations によって、OU が削除され、リストからも消去されます。

OU を削除するには (AWS CLI、AWS API)

OU を削除するには、次のいずれかのコマンドを使用します。

• AWS CLI: aws organizations delete-organizational-unit

• AWS API: DeleteOrganizationalUnit