の用語と概念 AWS Organizations

すべての機能は、 で使用できるデフォルトの機能セットです。 AWS Organizations。 組織全体の一元的なポリシーと設定要件の設定、組織内でのカスタムアクセス許可または機能の作成、1 回の請求でアカウントの管理と整理、組織に代わって他のアカウントに責任を委任することができます。他の との統合を使用することもできます。 AWS のサービス は、組織内のすべてのメンバーアカウントにわたる中央設定、セキュリティメカニズム、監査要件、リソース共有を定義します。詳細については、「を他の AWS Organizations で使用する AWS のサービス」を参照してください。

すべての機能モードは、一括請求のすべての機能と管理機能を提供します。

一括請求は、共有請求機能を提供する機能セットですが、 のより高度な機能は含まれていません。 AWS Organizations。 例えば、他の を有効にすることはできません。 AWS サービスを組織と統合してすべてのアカウントで作業したり、ポリシーを使用して異なるアカウントのユーザーとロールが実行できる操作を制限したりできます。

統合請求機能のみを最初にサポートしていた組織のすべての機能を有効にできます。すべての機能を有効にするには、招待済みのすべてのメンバーアカウントを使用して、管理アカウントでプロセスを開始する際に送信される招待を承認し、変更を承認する必要があります。詳細については、「を使用して組織のすべての機能を有効にする AWS Organizations」を参照してください。

組織は のコレクションです。 AWS アカウント 一元管理し、ルートが上部にあり、組織単位がルートの下にネストされた階層的なツリーのような構造に整理できます。各アカウントは、ルートに直接配置することも、OUs階層内の 1 つの に配置することもできます。

各組織は以下で構成されます。

組織には、有効にする機能セットによって決定された機能を含みます。

管理ルート (ルート） は管理アカウントに含まれ、 を整理するための出発点です。 AWS アカウント。 ルートは、組織の階層の最上位コンテナです。このルートでは、組織単位 (OUs） を作成してアカウントを論理的にグループ化し、ニーズに最適な階層OUsに整理できます。

管理ポリシーをルートに適用すると、組織の管理アカウントを含むすべての組織単位 (OUs） AWS アカウントとアカウント に適用されます。

承認ポリシー (サービスコントロールポリシー (SCP) など) をルートに適用すると、組織内のすべての組織単位 (OUs) とメンバーアカウントに適用されます。組織の管理アカウントには適用されません。

組織単位 (OU) は のグループです。 AWS アカウント 組織内の 。OU には、階層を作成OUsできる他の を含めることもできます。例えば、同じ部門に属するすべてのアカウントを部門 OU にグループ化できます。同様に、セキュリティサービスを実行しているすべてのアカウントをセキュリティ OU にグループ化できます。

OUs は、組織内のアカウントのサブセットに同じコントロールを適用する必要がある場合に役立ちます。ネストOUsすると、管理単位が小さくなります。例えば、ワークロードOUsごとに を作成し、ワークロード OU OUsごとにネストされた 2 つの を作成して、本番ワークロードを本番稼働前から分割できます。これらは、チームレベルの OU に直接割り当てられたコントロールに加えて、親 OU からポリシーをOUs継承します。ルートと を含める AWS アカウント は最も低い で作成されOUs、階層の深さは 5 レベルにすることができます。

AWS アカウント は のコンテナです。 AWS リソースの使用料金を見積もることができます。を作成および管理します。 AWS の リソース AWS アカウント、および AWS アカウント は、アクセスと請求の管理機能を提供します。

複数の を使用する AWS アカウント は環境のスケーリングのベストプラクティスです。コストの請求境界を提供し、セキュリティのためにリソースを分離し、新しいプロセスに適応できるだけでなく、柔軟性や個人やチームも提供します。

組織には、管理アカウントとして指定されている 1 つのアカウントと、1 つ以上のメンバーアカウント の 2 つのタイプのアカウントがあります。

管理アカウントは AWS アカウント を使用して組織を作成します。管理アカウントから、次の操作を実行できます。

管理アカウントは組織の最終的な所有者であり、セキュリティ、インフラストラクチャ、財務ポリシーを最終的に管理します。このアカウントには支払者アカウントの役割があり、組織内のアカウントによって発生したすべての料金を支払う責任があります。

メンバーアカウントは AWS アカウント組織の一部である管理アカウント以外の 。組織の管理者である場合は、組織内にメンバーアカウントを作成し、既存のアカウントを組織に参加に招待できます。メンバーアカウントにポリシーを適用することもできます。

 管理アカウントとそのユーザーおよびロールは、そのアカウントで実行する必要のあるタスクのみに使用することをおすすめします。を保存することをお勧めします。 AWS 組織内の他のメンバーアカウントの リソースは、管理アカウントから遠ざけます。これは、Organizations サービスコントロールポリシー (SCPs) などのセキュリティ機能が管理アカウントのユーザーやロールを制限しないためです。また、リソースを管理アカウントから分離することで、請求書に記載される請求額が理解しやすくなります。組織の管理アカウントから、1 つ以上のメンバーアカウントを委任管理者アカウントとして指定すると、この推奨事項を実施するうえで役立ちます。委任管理者には次の 2 種類があります。

招待とは、別の アカウントに組織 への参加を依頼するプロセスです。招待は、組織の管理アカウントによってのみ発行できます。招待は、招待されるアカウントに関連付けられたアカウント ID または E メールアドレスに送られます。招待済みのアカウントによって招待が承認されると、そのアカウントが、組織のメンバーアカウントになります。一括請求機能のみのサポートから、組織のすべての機能のサポートへの変更にすべてのメンバーが承認する必要が出てきた場合に、現在のすべてのメンバーアカウントに招待を送信することもできます。招待は、ハンドシェイクを交換するアカウントによって行われます。で作業するとハンドシェイクが表示されないことがある AWS Organizations console。ただし、 AWS CLI または AWS Organizations API、ハンドシェイクを直接操作する必要があります。

ハンドシェイクは、2 者間で情報を交換するための複数ステップのプロセスです。の主な用途の 1 つ AWS Organizations は、招待 の基盤となる実装として機能します。ハンドシェイクメッセージは、ハンドシェイクの開始者と受信者の間で受け渡しと応答が行われます。メッセージは、両方の当事者が現在のステータスを確実に把握できる方法で受け渡しされます。ハンドシェイクは、組織を一括請求機能のみのサポートから、 AWS Organizations オファー。通常、 で作業する場合にのみ、ハンドシェイクと直接やり取りする必要があります。 AWS Organizations API や、 などのコマンドラインツール AWS CLI.

バックアップポリシーは、組織内のすべてのアカウントでリソースのバックアップ戦略を標準化および実装するのに役立つポリシーのタイプです。リソースのバックアッププランの設定とデプロイは、バックアップポリシーで行うことができます。

タグポリシーは、組織内のすべてのアカウントのリソース間でタグを標準化するのに役立つポリシーのタイプです。タグポリシーでは、特定のリソースのタグ付けルールを指定できます。

AI サービスのオプトアウトポリシーは、 のオプトアウト設定を標準化するのに役立つポリシーの一種です。 AWS 組織内のすべてのアカウントの AI サービス。特定の AWS AI サービスは、Amazon AI サービスとテクノロジーの開発と継続的な改善のために、これらのサービスによって処理された顧客コンテンツを保存して使用できます。として AWS のお客様は、AI サービスのオプトアウトポリシーを使用して、コンテンツの保存またはサービスの改善に使用されたことをオプトアウトできます。

サービスコントロールポリシーは、 がSCP影響するアカウントでユーザーとロールが使用できるサービスとアクションを指定するポリシーです。SCPs は、IAMアクセス許可を付与しない点を除いて、アクセス許可ポリシーに似ています。代わりに、組織 、組織単位 ()OUs、またはアカウント の最大アクセス許可SCPsを指定します。を組織のルートまたは OU SCPにアタッチすると、 はメンバーアカウント 内のエンティティのアクセス許可SCPを制限します。

許可リストと拒否リストは、アカウントで利用可能なアクセス許可をフィルタリングSCPsするために適用できる補完的な戦略です。