「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
組織単位 (OU) の管理
AWS Organizations では、Organizations 管理コンソールの新しいバージョンが導入されました。コンソール上部にある通知ボックスのリンクを選択すると、古いコンソールと新しいコンソールを切り替えることができます。ぜひ新しいバージョンをお試しになり、ご意見やご感想をお知らせください。お客様のフィードバックをお待ちしております。
組織単位 (OU) を使用すると、アカウントをまとめてグループ化し、単一のユニットとして管理できます。その結果、アカウントの管理は大幅に簡略化されます。たとえば、ポリシーベースのコントロールを OU にアタッチすると、OU 内のすべてのアカウントが自動的にポリシーを継承します。 OU は、1 つの組織に複数作成することができるため、その他の OU 内にも OU を作成することができます。各 OU には、複数のアカウントを含めることができるだけでなく、OU
から別の OU へアカウントを移動することもできます。ただし、OU の名前は、親 OU またはルート内で一意である必要があります。
組織にルートが 1 つあり、このルートは、組織を最初に設定するときに AWS Organizations によって作成されます。
組織のアカウントを構成するには、次のタスクを行います。
ルートおよび OU 階層の操作
アカウントを移動したりポリシーをアタッチしたりするときに、別の OUsまたはルートに移動するには、デフォルトの「ツリー」ビューを使用できます。
- 古いコンソール
-
組織を「ツリー」として移動するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[[Organize accounts (アカウントの整理)] タブ] を選択します。
-
ツリービューペインがページの左側に表示されていない場合は、[TREE VIEW] スイッチをオンにします
。
-
ツリーの最初のツリーには [ルート] が表示され、最初のレベルの子 OUsのみが表示されます。ツリーペインを展開して深いレベルを表示するには、展開したいエンティティの横にある
[+] アイコンを選択します。無駄を省いてツリーのブランチを折りたたむには、展開された親エンティティの横にある – アイコンを選択します。
-
引き続きツリービューペインで、移動先の OU またはルートを選択します。ツリービューで太字で表示されるノードは、中央ペインで現在表示しているノードです。
-
中央ペインでの名前の変更、削除、移動オペレーション: コンソールで root または OU の内容を表示すると、root または OU の子エンティティで操作できます。
-
子アカウントのチェックボックスをオンにした場合、そのセクションの上にある [名前の変更]、[削除]、または [移動] リンクを選択して、選択したアカウントでそれらのオペレーションを実行できます。
-
子 OU のチェックボックスをオンにした場合、そのセクションの上にある [Rename (名前変更)] または [Delete (削除)] リンクを選択して、選択した
OU でそれらのオペレーションを実行できます。OU を親から別の親に移動することはできません。
この操作は、選択した子エンティティにのみ適用されます。含まれる root または OU には適用されません。含まれる OU に同じ操作を実行するには、OU の親 OU
または root に移動し、管理する 子 OU のチェックボックスをオンにします。
-
詳細ペイン: コンソールの右側にある詳細ペインには root または OU に関する情報が表示されます。子エンティティのチェックボックスを選択すると、詳細ペインが切り替わり、選択されたエンティティに関する情報を表示します。含まれる
root または OU の詳細を再度表示するには、チェックボックスをオフにする必要があります。または、親の root か OU に移動して、情報を表示する OU のチェックボックスをオンにします。
- 新しいコンソール
-
組織を「ツリー」として移動するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[[AWS accounts (AWS アカウント)] ページ] の [Organization (組織)] セクションの上部にある [View AWS accounts only switch (アカウントのみ表示)] アイコンがオフになっていることを確認します。
。
-
ツリーの最初のツリーにはルートが表示され、最初のレベルの子 OUsとアカウントのみが表示されます。ツリーを展開して深いレベルを表示するには、親エンティティの横にある展開アイコン
(
) を選択します。無駄を省いてツリーのブランチを折りたたむには、展開された親エンティティの横にある折りたたみアイコン (
) を選択します。
-
OU またはルートの名前を選択して、詳細を表示し、特定のオペレーションを実行します。または、名前の横にあるラジオボタンを選択して、[アクション] メニューでそのエンティティに対して特定のオペレーションを実行することもできます。
また、まず OU に移動して検索しなくても、組織内のすべてのアカウントのリストを表形式で表示できます。このビューでは、OU を表示したりOUsにアタッチされているポリシーを操作したりすることはできません。
- 古いコンソール
-
階層のないアカウントのフラットリストとして組織を表示するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[[アカウント] タブ] を選択します。
-
[TREE VIEW] スイッチ をオフにすることで、ページの左側にあるツリービューペインをオフにできます
。
- 新しいコンソール
-
階層のないアカウントのフラットリストとして組織を表示するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[[AWS accounts (AWS アカウント)] ページ] の [Organization (組織)] セクションの上部にある [View AWS accounts only switch (アカウントのみ表示)] アイコンを選択してオンにします。
。
-
アカウントのリストは階層なしで表示されます。
OU の作成
組織の管理アカウントにサインインすると、組織のルートに OU を作成できます。OU は、最大 5 レベルの深さまでネストできます。OU を作成するには、次のステップを完了します。
この組織が で管理されている場合はAWS Control Tower、 AWS Control Tower コンソールまたは APIs を使用して OUsを作成します。で
OU を作成する場合Organizations、その OU は に登録されませんAWS Control Tower。詳細については、 AWS Control Tower ユーザーガイドの「 以外のリソースAWS Control Towerを参照する」を参照してください。
組織のルート内に OU を作成するには、次のアクセス権限が必要です。
- 古いコンソール
-
OU を作成するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
ルートの内容がコンソールに表示されます。初めてルートにアクセスするときは、コンソールの最上位のビューにすべての AWS アカウントが表示されます。以前に OU を作成してその
OU にアカウントを移動している場合、コンソールには最上位の OU と、OU に移動していないアカウントのみ表示されます。
-
(オプション) 既存の OU 内に OU を作成する場合は、子 OU の名前 (チェックボックスではない) を選択する、または、ツリービューで OU を選択して、子 OU に移動します。
-
階層の適切な場所にいる場合は、[+New organizational unit] タイルを選択します。
-
[Create organizational unit (組織単位の作成)] ダイアログボックスで、作成する OU の名前を入力します。
-
(オプション) [タグの追加] を選択し、キーとオプションの値を入力することで、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列に設定されます。 ではありませんnull。OU には最大 50 個のタグをアタッチできます。
-
完了したら、[Create organizational unit (組織単位の作成)] を選択します。
親 OU 内に新しい OU が作成されます。これで、この OU にアカウントを移動する、またはポリシーをアタッチすることができるようになりました。
- 新しいコンソール
-
OU を作成するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[AWS accounts (AWS アカウント)] ページ に移動します。
コンソールにルート OU とそのコンテンツが表示されます。ルート に初めてアクセスすると、コンソールの最上位ビューにすべてのAWSアカウントが表示されます。以前に
OU を作成してその OU にアカウントを移動している場合、コンソールには最上位の OU と、OU に移動していないアカウントのみ表示されます。
-
(オプション) 既存の OU 内に OU を作成する場合は、子 OU の名前 (チェックボックスではない) を選択するか、必要な OU が表示されるまでツリービューで OUs の横にある OU を選択して、子 OU
に移動します。
-
階層で正しい親 OU を選択したら、[Actions] メニューの [Organizational Unit] で、[Create new] を選択します。
-
[Create organizational unit (組織単位の作成)] ダイアログボックスで、作成する OU の名前を入力します。
-
(オプション) [タグの追加] を選択し、キーとオプションの値を入力することで、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列に設定されます。 ではありませんnull。OU には最大 50 個のタグをアタッチできます。
-
最後に、[Create organizational unit (組織単位の作成)] を選択します。
親 OU 内に新しい OU が作成されます。これで、この OU にアカウントを移動する、またはポリシーをアタッチすることができるようになりました。
- AWS CLI & AWS SDKs
-
OU を作成するには
OU を作成するには、次のいずれかのコマンドを使用します。
-
AWS CLI: aws organizations create-organizational-unit
OU を作成するには、まず、新しい OU の親にするルートまたは OU の ID を見つける必要があります。
ルートの ID を検索するには、list-roots コマンドを使用します。OU の ID を確認するには、list-children を使用して目的の OU に移動します。
次の例は、ルートの ID を検索し、ルートの下の OU の ID を見つける方法を示しています。最後のコマンドは、見つかった OU に新しい OU を作成する方法を示しています。
$ aws organizations list-roots
{
"Roots": [
{
"Id": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"PolicyTypes": []
}
]
}
$ aws organizations list-children \
--parent-id r-a1b2 \
--child-type ORGANIZATIONAL_UNIT
{
"Children": [
{
"Id": "ou-a1b2-f6g7h111",
"Type": "ORGANIZATIONAL_UNIT"
}
]
}
$ aws organizations create-organizational-unit \
--parent-id ou-a1b2-f6g7h111 \
--name New-Child-OU
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "New-Child-OU"
}
}
-
AWS SDKs: CreateOrganizationalUnit
OU の名前変更
組織の管理アカウントにサインインすると、OU の名前を変更できます。そのためには、以下の手順を完了します。
AWS 組織のルート内にある OU の名前を変更するには、次のアクセス権限が必要です。
- 古いコンソール
-
OU の名前を変更するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[] で[Organize accounts (アカウントの整理)] タブ、名前を変更する OU に移動し、その名前の横にあるチェックボックスをオンにします。
-
[名前の変更] を選択します。
-
[Rename organizational unit] ダイアログボックスで、新しい名前を入力し、[Rename organizational unit] を選択します。
- 新しいコンソール
-
OU の名前を変更するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[] で[AWS accounts (AWS アカウント)] ページ、名前を変更する OU に移動し、次のいずれかのステップを実行します。
-
[Rename organizational unit] ダイアログボックスで、新しい名前を入力し、[Save changes] を選択します。
- AWS CLI & AWS SDKs
-
OU の名前を変更するには
OU の名前を変更するには、次のいずれかのコマンドを使用します。
-
AWS CLI: aws organizations update-organizational-unit
次の例は、OU の名前を変更する方法を示しています。
$ aws organizations update-organizational-unit \
--organizational-unit-id ou-a1b2-f6g7h222 \
--name "Renamed-OU"
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "Renamed-OU"
}
}
-
AWS SDKs: UpdateOrganizationalUnit
OU にアタッチされたタグの編集
組織のマスターアカウントにサインインすると、OU にアタッチされているタグを追加または削除できます。そのためには、以下の手順を完了します。
AWS 組織のルート内の OU にアタッチされたタグを編集するには、次のアクセス権限が必要です。
-
organizations:DescribeOrganization – Organizations コンソールを使用する場合にのみ必要
-
organizations:DescribeOrganizationalUnit– Organizations コンソールを使用する場合にのみ必要
-
organizations:TagResource
-
organizations:UntagResource
- 古いコンソール
-
OU にアタッチされたタグを編集するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[] [Organize accounts (アカウントの整理)] タブで、タグを編集する OU に移動して選択します。
-
右側の OU の詳細ペインで、[EDIT TAGS (タグの編集)] を選択します。
-
このページでは、これらのアクションのいずれかを実行できます。
-
古い値よりも新しい値を入力して、任意のタグの値を編集します。タグキーを変更することはできません。キーを変更するには、古いキーを持つタグを削除し、新しいキーを持つタグを追加する必要があります。
-
削除するタグの横にある [削除] を選択して、既存のタグを削除します。
-
新しいタグキーと値のペアを追加します。[タグの追加] を選択し、表示されたボックスに新しいキー名とオプション値を入力します。[値] ボックスを空のままにした場合、値は空の文字列であり、 ではありませんnull。
-
追加する追加、削除、編集をすべて行ったら、[変更の保存] を選択します。
- 新しいコンソール
-
OU にアタッチされたタグを編集するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[[AWS accounts (AWS アカウント)] ページ] で、タグを編集する OU に移動して選択します。
-
OU の詳細ページで、[タグ] タブを選択し、[タグの管理] を選択します。
-
このタブでこれらのアクションを実行できます。
-
古い値よりも新しい値を入力して、任意のタグの値を編集します。タグキーを変更することはできません。キーを変更するには、古いキーを持つタグを削除し、新しいキーを持つタグを追加する必要があります。
-
復元するタグの横にある [削除] を選択して、既存のタグを削除します。
-
新しいタグキーと値のペアを追加します。[タグの追加] を選択し、表示されたボックスに新しいキー名とオプションの値を入力します。[値] ボックスを空のままにした場合、値は空の文字列であり、 ではありませんnull。
-
追加する追加、削除、編集をすべて行ったら、[変更の保存] を選択します。
- AWS CLI & AWS SDKs
-
OU にアタッチされたタグを編集するには
OU にアタッチされたタグを変更するには、次のいずれかのコマンドを使用します。
-
AWS CLI: aws organizations tag-resource および aws organizations untag-resource
次の例では、タグ を OU "Department"="12345" にアタッチします。Key と では大文字と小文字Valueが区別されます。
$ aws organizations tag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tags Key=Department,Value=12345
このコマンドは、成功しても出力を生成しません。
次の例では、OU からDepartmentタグ を削除します。
$ aws organizations untag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tag-keys Department
このコマンドは、成功しても出力を生成しません。
-
AWS SDKs: TagResource および UntagResource
OU へのアカウント移動またはルートと OU 間のアカウント移動
組織の管理アカウントにサインインすると、ルートから OU、1 つの OU から別の OU、または OU からルートに戻るように、組織のアカウントを移動することができます。OU
内にアカウントを作成すると、親 OU や、ルートにつながる他のすべての OU にアタッチされているポリシーが適用されます。OU にアカウントがない場合は、ルートや、アカウントに直接アタッチされているポリシーのみ適用されます。アカウントを移動するには、次の手順を完了します。
OU 階層の新しい場所にアカウントを移動するには、次のアクセス権限が必要です。
- 古いコンソール
-
アカウントを OU に移動するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
移動したいアカウントが現在含まれている OU[Organize accounts (アカウントの整理)] タブ に移動します。
-
アカウントを選択し、[Move (移動)] を選択します。
-
[Move AWS account] ダイアログボックスで、アカウントを移動する OU またはルートに移動して選択し、[Move] を選択します。
- 新しいコンソール
-
アカウントを OU に移動するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[] で[AWS accounts (AWS アカウント)] ページ、移動するアカウントが含まれている OU に移動します。
-
アカウント名の横にあるラジオボタンを選択し、[Actions] メニューの [AWS account] で、[Move] を選択します。
-
[Move accountAWS (アカウントの移動)] ダイアログボックスで、アカウントを移動する OU またはルートに移動し、[Move AWS account (アカウントの移動)] を選択します。
- AWS CLI & AWS SDKs
-
アカウントを OU に移動するには
アカウントを移動するには、次のいずれかのコマンドを使用します。
-
AWS CLI: aws organizations move-account
次の例ではAWS、アカウントをルートから OU に移動します。ソースコンテナとターゲットコンテナの両方の IDs を指定する必要があります。
$ aws organizations move-account \
--account-id 111122223333 \
--source-parent-id r-a1b2 \
--destination-parent-id ou-a1b2-f6g7h111
このコマンドは、成功しても出力を生成しません。
-
AWS SDKs: MoveAccount
OU の削除
組織の管理アカウントにサインインすると、不要になった OUsを削除できます。
すべてのアカウントを OU と子 OUsの外に移動する必要があり、次に子 OUsを削除できます。
OU を削除するには、次のアクセス権限が必要です。
- コンソール
-
- 新しいコンソール
-
OU を削除するには
-
AWS Organizations コンソールにサインインします。You must sign in as an IAM
user, assume an IAM role, or sign in as the root user (not
recommended) in the organization’s management account.
-
[] で[AWS accounts (AWS アカウント)] ページ、削除する OU に移動し、次のいずれかのステップを実行します。
-
OU の削除を確定するには、その名前を入力し、[Delete (削除)] を選択します。
AWS Organizations によって、OU が削除され、リストからも消去されます。
- AWS CLI & AWS SDKs
-
OU を削除するには
OU を削除するには、次のいずれかのコマンドを使用します。
