AWS Organizations の概念と用語

すべての機能は、AWS Organizations で利用できるデフォルトの機能セットです。組織全体の一元的なポリシーと設定要件の設定、組織内のカスタムアクセス許可や機能の作成、1 回の請求でアカウントの管理と整理、組織に代わって他のアカウントに責任を委任できます。また、他の AWS のサービスと統合することで、組織内のすべてのメンバーアカウントにわたる中央設定、セキュリティメカニズム、監査要件、リソース共有を定義することもできます。詳細については、「AWS Organizations を他の AWS のサービスで使用する」を参照してください。

すべての機能モードには、一括請求のすべての機能と管理機能が用意されています。

一括請求 (コンソリデーティッドビリング)は、共有課金機能を提供する機能セットではありますが、AWS Organizations のより高度な機能は含まれません。例えば、他の AWS サービスを組織と統合してそのすべてのアカウントで機能するようにしたり、ポリシーを使用して異なるアカウントのユーザーとロールが実行できることを制限したりすることはできません。

組織の設定を一括請求機能 (コンソリデーティッドビリング) のみのサポートからすべての機能のサポートに変更することができます。すべての機能を有効にするには、招待済みのすべてのメンバーアカウントを使用して、管理アカウントでプロセスを開始する際に送信される招待を承認し、変更を承認する必要があります。詳細については、「AWS Organizations で組織のすべての機能を有効にする」を参照してください。

組織とは、一元的に管理し、上部にルートがあり、ルートの下にネストされた組織単位を持つ階層的な木のような構造に整理できる AWS アカウントのコレクションです。各アカウントは、ルートに直接含めるか、階層内の OU のいずれかに配置することができます。

各組織は以下で構成されます。

組織には、有効にする機能セットによって決定された機能を含みます。

管理ルート (ルート) は管理アカウントに含まれ、AWS アカウントを整理するための出発点です。ルートは、組織の階層で最上位のコンテナです。このルートでは、組織単位 (OU) を作成してアカウントを論理的にグループ化し、ニーズに最適な階層 OU に整理できます。

管理ポリシーをルートに適用する場合は、組織の管理アカウントを含む、すべての組織単位 (OU) とアカウントに適用されます。

承認ポリシー (サービスコントロールポリシー (SCP) など) をルートに適用すると、組織内のすべての組織単位 (OU) とメンバーアカウントに適用されます。組織の管理アカウントには適用されません。

組織単位 (OU) は、組織内の AWS アカウントのグループです。OU には、階層を作成できる他の OU を含めることもできます。例えば、同じ部門に属するすべてのアカウントを部門 OU にグループ化できます。同様に、セキュリティサービスを実行しているすべてのアカウントをセキュリティ OU にグループ化できます。

OU は、組織内のアカウントのサブセットに同じコントロールを適用する必要がある場合に役立ちます。OU ネストすると、管理単位が小さくなります。例えば、ワークロードごとに OU を作成し、ワークロード OU ごとにネストされた OU を 2 つ作成して、本番ワークロードを本番稼働前から分割できます。これらの OU は、チームレベルの OU に直接割り当てられたコントロールに加えて、親 OU からポリシーを継承します。ルートと最も低い OU に作成された AWS アカウントを含めると、階層は 5 レベルの深さになります。

AWS アカウントは AWS リソースのコンテナです。AWS アカウントで AWS リソースを作成および管理し、AWS アカウントにはアクセスと請求のための管理機能があります。

複数の AWS アカウントを使用することは、環境をスケーリングするためのベストプラクティスです。これは、コストの請求境界を提供し、セキュリティのためにリソースを分離し、新しいプロセスに適応するだけでなく、柔軟性や個人やチームも提供するためです。

組織は 2 種類のアカウントで構成されます。一つは管理アカウントとして指定された単一のアカウント、もう一つは 1 つ以上のメンバーアカウントです。

管理アカウントは、組織の作成に使用する AWS アカウントです。管理アカウントから、以下のことができます。

管理アカウントは組織の最終的な所有者であり、セキュリティ、インフラストラクチャ、財務ポリシーを最終的に制御します。このアカウントには支払者アカウントの役割があり、組織内のアカウントによって発生したすべての料金を支払う責任があります。

メンバーアカウントは、管理アカウント以外であり、組織の一部である AWS アカウントです。組織の管理者であれば、組織内にメンバーアカウントを作成したり、既存のアカウントを組織に招待して参加させることができます。メンバーアカウントにポリシーを適用することもできます。

 管理アカウントとそのユーザーおよびロールは、そのアカウントで実行する必要のあるタスクのみに使用することをおすすめします。AWS リソースを組織内の他のメンバーアカウントに保存し、管理アカウントからは切り離すことをおすすめします。これは、Organizations のサービスコントロールポリシー (SCP) などのセキュリティ機能は、管理アカウントのどのユーザーやどのロールにも制限を加えることができないためです。また、リソースを管理アカウントから分離することで、請求書に記載される請求額が理解しやすくなります。組織の管理アカウントから、1 つ以上のメンバーアカウントを委任管理者アカウントとして指定すると、この推奨事項を実施するうえで役立ちます。委任管理者には次の 2 種類があります。

招待とは、別のアカウントを組織に招待するプロセスです。招待は、組織の管理アカウントによってのみ発行できます。招待は、招待されるアカウントに関連付けられたアカウント ID または E メールアドレスに送られます。招待済みのアカウントによって招待が承認されると、そのアカウントが、組織のメンバーアカウントになります。一括請求機能のみのサポートから、組織のすべての機能のサポートへの変更にすべてのメンバーが承認する必要が出てきた場合に、現在のすべてのメンバーアカウントに招待を送信することもできます。招待は、ハンドシェイクを交換するアカウントによって行われます。AWS Organizations コンソールで作業している場合、ハンドシェイクが表示されないことがあります。ただし、AWS CLI または AWS Organizations API を使用する場合は、ハンドシェイクを直接操作する必要があります。

ハンドシェイクとは、二者間で情報を交換する複数ステップのプロセスです。AWS Organizations の主な用途の 1 つは、invitations の基盤実装として提供することです。ハンドシェイクメッセージは、ハンドシェイクの開始者と受信者の間で受け渡しと応答が行われます。メッセージは、両方の当事者が現在のステータスを確実に把握できる方法で受け渡しされます。また、ハンドシェイクは、一括請求機能のみのサポートから、 で提供されるすべての機能AWS Organizationsのサポートへ組織を変更する際にも使用されます。通常、ハンドシェイクは、AWS Organizations API または AWS CLI などのコマンドラインツールを使用する場合にのみ、直接交換する必要があります。

バックアップポリシーは、ポリシーの一種で、組織内のアカウント全体で、リソースのバックアップ戦略を標準化、実装するのに役立ちます。リソースのバックアッププランの設定とデプロイは、バックアップポリシーで行うことができます。

タグポリシーは、ポリシーの一種で、組織のアカウント全体のリソース間でタグを標準化するのに役立ちます。タグポリシーでは、特定のリソースのタグ付けルールを指定できます。

チャットボットポリシーは、ポリシーの一種で、Slack や Microsoft Teams などのチャットアプリケーションから組織のアカウントへのアクセスを制御するのに役立ちます。チャットボットポリシーでは、特定のワークスペース (Slack) とチーム (Microsoft Teams) へのアクセスを制限します。

AI サービスのオプトアウトポリシーは、ポリシーの一種で、AWS の AI サービスのオプトアウト設定を、組織内のアカウント全体で標準化するのに役立ちます。AWS の特定の AI サービスは、処理したお客様のコンテンツを Amazon の AI サービスおよびテクノロジーの開発と継続的改善のために保存、使用することがあります。AI サービスのオプトアウトポリシーでは、サービスの改善のためにコンテンツが保存または使用されることをオプトアウトできます。

サービスコントロールポリシーは、ユーザーやロールが、SCP による影響を受けるアカウントで使用できるサービスやアクションを指定するポリシーです。アクセス許可が付与されない点を除き、SCP は IAM 許可ポリシーと類似しています。代わりに、SCP は組織、組織単位 (OU) あるいはアカウントに最大アクセス許可を指定します。SCP を組織の root あるいは OU にアタッチすると、SCP はメンバーアカウント内のエントリのアクセス権限を制限します。

許可リストと拒否リストは、SCP を適用してアカウントで利用できるアクセス許可をフィルタ処理するための補足的な戦略です。