翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の用語と概念 AWS Organizations
このトピックでは、 の主要な概念について説明します。 AWS Organizations.
次の図は、ルートの下にある 4 つの組織単位 (OUs) に編成された 5 つのアカウントで構成される組織を示しています。組織には、 の一部にアタッチされているポリシーOUsや、アカウントに直接アタッチされているポリシーもいくつかあります。
これらの各項目の詳細については、このトピックの定義を参照してください。
利用可能な機能セット
- すべての機能 (推奨)
-
すべての機能は、 で使用できるデフォルトの機能セットです。 AWS Organizations。 組織全体の一元的なポリシーと設定要件の設定、組織内でのカスタムアクセス許可または機能の作成、1 回の請求でアカウントの管理と整理、組織に代わって他のアカウントに責任を委任することができます。他の との統合を使用することもできます。 AWS のサービス は、組織内のすべてのメンバーアカウントにわたる中央設定、セキュリティメカニズム、監査要件、リソース共有を定義します。詳細については、「を他の AWS Organizations で使用する AWS のサービス」を参照してください。
すべての機能モードは、一括請求のすべての機能と管理機能を提供します。
- 一括請求
-
一括請求は、共有請求機能を提供する機能セットですが、 のより高度な機能は含まれていません。 AWS Organizations。 例えば、他の を有効にすることはできません。 AWS サービスを組織と統合してすべてのアカウントで作業したり、ポリシーを使用して異なるアカウントのユーザーとロールが実行できる操作を制限したりできます。
統合請求機能のみを最初にサポートしていた組織のすべての機能を有効にできます。すべての機能を有効にするには、招待済みのすべてのメンバーアカウントを使用して、管理アカウントでプロセスを開始する際に送信される招待を承認し、変更を承認する必要があります。詳細については、「を使用して組織のすべての機能を有効にする AWS Organizations」を参照してください。
組織構造
- 組織
-
組織は のコレクションです。 AWS アカウント 一元管理し、ルートが上部にあり、組織単位がルートの下にネストされた階層的なツリーのような構造に整理できます。各アカウントは、ルートに直接配置することも、OUs階層内の 1 つの に配置することもできます。
各組織は以下で構成されます。
ゼロ以上のメンバーアカウント
ゼロ以上の組織単位 (OUs)
ゼロ以上のポリシー 。
組織には、有効にする機能セットによって決定された機能を含みます。
- ルート
-
管理ルート (ルート) は管理アカウントに含まれ、 を整理するための出発点です。 AWS アカウント。 ルートは、組織の階層の最上位コンテナです。このルートでは、組織単位 (OUs) を作成してアカウントを論理的にグループ化し、ニーズに最適な階層OUsに整理できます。
管理ポリシーをルートに適用すると、組織の管理アカウントを含むすべての組織単位 (OUs) AWS アカウントとアカウント に適用されます。
承認ポリシー (サービスコントロールポリシー (SCP) など) をルートに適用すると、組織内のすべての組織単位 (OUs) とメンバーアカウントに適用されます。組織の管理アカウントには適用されません。
注記
ルートは 1 つだけ持つことができます。 AWS Organizations 組織を作成すると、 によってルートが自動的に作成されます。
- 組織単位 (OU)
-
組織単位 (OU) は のグループです。 AWS アカウント 組織内の 。OU には、階層を作成OUsできる他の を含めることもできます。例えば、同じ部門に属するすべてのアカウントを部門 OU にグループ化できます。同様に、セキュリティサービスを実行しているすべてのアカウントをセキュリティ OU にグループ化できます。
OUs は、組織内のアカウントのサブセットに同じコントロールを適用する必要がある場合に役立ちます。ネストOUsすると、管理単位が小さくなります。例えば、ワークロードOUsごとに を作成し、ワークロード OU OUsごとにネストされた 2 つの を作成して、本番ワークロードを本番稼働前から分割できます。これらは、チームレベルの OU に直接割り当てられたコントロールに加えて、親 OU からポリシーをOUs継承します。ルートと を含める AWS アカウント は最も低い で作成されOUs、階層の深さは 5 レベルにすることができます。
- AWS アカウント
-
AWS アカウント は のコンテナです。 AWS リソースの使用料金を見積もることができます。を作成および管理します。 AWS の リソース AWS アカウント、および AWS アカウント は、アクセスと請求の管理機能を提供します。
複数の を使用する AWS アカウント は環境のスケーリングのベストプラクティスです。コストの請求境界を提供し、セキュリティのためにリソースを分離し、新しいプロセスに適応できるだけでなく、柔軟性や個人やチームも提供します。
注記
An AWS アカウントはユーザーとは異なります。ユーザーとは、 を使用して作成する ID です。 AWS Identity and Access Management (IAM) と は、IAM長期的な認証情報を持つユーザーまたはIAM短期的な認証情報を持つロールの形式をとります。単一の AWS アカウントには、多数のユーザーとロールを含めることができ、通常は含めることができます。
組織には、管理アカウントとして指定されている 1 つのアカウントと、1 つ以上のメンバーアカウント の 2 つのタイプのアカウントがあります。
- 管理アカウント
-
管理アカウントは AWS アカウント を使用して組織を作成します。管理アカウントから、次の操作を実行できます。
組織内の他のアカウントを作成する
他のアカウントを組織に招待して管理する
組織からアカウントを削除する
ルート 、組織単位 ()OUs、組織内のアカウントなどのエンティティにポリシーをアタッチする
-
サポートされている との統合を有効にする AWS のサービス。組織内のすべてのアカウントでサービス機能を提供します。
管理アカウントは組織の最終的な所有者であり、セキュリティ、インフラストラクチャ、財務ポリシーを最終的に管理します。このアカウントには支払者アカウントの役割があり、組織内のアカウントによって発生したすべての料金を支払う責任があります。
注記
組織内のどのアカウントが管理アカウントであるかを変更することはできません。
- メンバーアカウント
-
メンバーアカウントは AWS アカウント組織の一部である管理アカウント以外の 。組織の管理者である場合は、組織内にメンバーアカウントを作成し、既存のアカウントを組織に参加に招待できます。メンバーアカウントにポリシーを適用することもできます。
注記
メンバーアカウントは、一度に 1 つの組織にしか属せません。委任管理者アカウントとしてメンバーアカウントを指定できます。
- 委任管理者
-
管理アカウントとそのユーザーおよびロールは、そのアカウントで実行する必要のあるタスクのみに使用することをおすすめします。を保存することをお勧めします。 AWS 組織内の他のメンバーアカウントの リソースは、管理アカウントから遠ざけます。これは、Organizations サービスコントロールポリシー (SCPs) などのセキュリティ機能が管理アカウントのユーザーやロールを制限しないためです。また、リソースを管理アカウントから分離することで、請求書に記載される請求額が理解しやすくなります。組織の管理アカウントから、1 つ以上のメンバーアカウントを委任管理者アカウントとして指定すると、この推奨事項を実施するうえで役立ちます。委任管理者には次の 2 種類があります。
Organizations の委任管理者: これらのアカウントから、組織ポリシーを管理し、組織内のエンティティ (ルート、OUs、またはアカウント) にポリシーをアタッチできます。管理アカウントは、委任権限をきめ細かく制御できます。詳細については、「の委任管理者 AWS Organizations」を参照してください。
の委任管理者 AWS サービス: これらのアカウントから、 を管理できます。 AWS Organizations と統合する のサービス。管理アカウントは、必要に応じて異なるメンバーアカウントをさまざまなサービスの委任管理者として登録できます。これらのアカウントには、特定のサービスの管理者権限と、Organizations の読み取り専用アクションの権限があります。詳細については、「 Organizations と連携 AWS のサービス する の委任された管理者」を参照してください
招待とハンドシェイク
- 招待
-
招待とは、別の アカウントに組織 への参加を依頼するプロセスです。招待は、組織の管理アカウントによってのみ発行できます。招待は、招待されるアカウントに関連付けられたアカウント ID または E メールアドレスに送られます。招待済みのアカウントによって招待が承認されると、そのアカウントが、組織のメンバーアカウントになります。一括請求機能のみのサポートから、組織のすべての機能のサポートへの変更にすべてのメンバーが承認する必要が出てきた場合に、現在のすべてのメンバーアカウントに招待を送信することもできます。招待は、ハンドシェイクを交換するアカウントによって行われます。で作業するとハンドシェイクが表示されないことがある AWS Organizations console。ただし、 AWS CLI または AWS Organizations API、ハンドシェイクを直接操作する必要があります。
- ハンドシェイク
-
ハンドシェイクは、2 者間で情報を交換するための複数ステップのプロセスです。の主な用途の 1 つ AWS Organizations は、招待 の基盤となる実装として機能します。ハンドシェイクメッセージは、ハンドシェイクの開始者と受信者の間で受け渡しと応答が行われます。メッセージは、両方の当事者が現在のステータスを確実に把握できる方法で受け渡しされます。ハンドシェイクは、組織を一括請求機能のみのサポートから、 AWS Organizations オファー。通常、 で作業する場合にのみ、ハンドシェイクと直接やり取りする必要があります。 AWS Organizations API や、 などのコマンドラインツール AWS CLI.
組織ポリシー
ポリシーは、 のグループに適用するコントロールを定義する 1 つ以上のステートメントを含む「ドキュメント」です。 AWS アカウント. AWS Organizations は、管理ポリシーと承認ポリシーをサポートします。
管理ポリシー
管理ポリシーは、一元的な設定と管理に役立ちます。 AWS のサービス および組織全体の機能。
- バックアップポリシー
-
バックアップポリシーは、組織内のすべてのアカウントでリソースのバックアップ戦略を標準化および実装するのに役立つポリシーのタイプです。リソースのバックアッププランの設定とデプロイは、バックアップポリシーで行うことができます。
- タグポリシー
-
タグポリシーは、組織内のすべてのアカウントのリソース間でタグを標準化するのに役立つポリシーのタイプです。タグポリシーでは、特定のリソースのタグ付けルールを指定できます。
- AI サービスのオプトアウトポリシー
-
AI サービスのオプトアウトポリシーは、 のオプトアウト設定を標準化するのに役立つポリシーの一種です。 AWS 組織内のすべてのアカウントの AI サービス。特定の AWS AI サービスは、Amazon AI サービスとテクノロジーの開発と継続的な改善のために、これらのサービスによって処理された顧客コンテンツを保存して使用できます。として AWS のお客様は、AI サービスのオプトアウトポリシーを使用して、コンテンツの保存またはサービスの改善に使用されたことをオプトアウトできます。
承認ポリシー
承認ポリシーは、 のセキュリティを一元管理するのに役立ちます。 AWS アカウント 組織全体で。
- サービスコントロールポリシー
-
サービスコントロールポリシーは、 がSCP影響するアカウントでユーザーとロールが使用できるサービスとアクションを指定するポリシーです。SCPs は、IAMアクセス許可を付与しない点を除いて、アクセス許可ポリシーに似ています。代わりに、組織 、組織単位 ()OUs、またはアカウント の最大アクセス許可SCPsを指定します。を組織のルートまたは OU SCPにアタッチすると、 はメンバーアカウント 内のエンティティのアクセス許可SCPを制限します。
- 許可リストと拒否リスト
-
許可リストと拒否リストは、アカウントで利用可能なアクセス許可をフィルタリングSCPsするために適用できる補完的な戦略です。
-
許可リスト戦略 – 許可されるアクセスを明示的に指定します。その他のアクセス権限はすべて暗黙的にブロックされます。デフォルトでは、 AWS Organizations が をアタッチする AWS すべてのルート
FullAWSAccess
、、OUsおよびアカウントに呼び出される マネージドポリシー。そのため、組織を構成する際は、設定しない限り一切ブロックされません。つまり、デフォルトではすべてのアクセス権限が許可されます。アクセス許可を制限する準備ができたら、FullAWSAccess
ポリシーを、より限定的かつ適切な一連のアクセス許可だけを使用できるポリシーに変更します。その後、影響を受けるアカウントのユーザーとロールは、IAMポリシーですべてのアクションが許可されている場合でも、そのレベルのアクセスのみを実行できます。ルートのデフォルトポリシーを変更する場合、組織内のアカウントはすべて、制限が適用されます。はアクセス許可を付与SCPせず、フィルタリングのみするため、階層の下位レベルでアクセス許可を再度追加することはできません。 -
拒否リスト戦略 – 許可されないアクセスを明示的に指定します。その他のアクセス権限はすべて有効になります。このシナリオでは、明示的にブロックされる場合を除き、すべてのアクセス権限が有効です。これは のデフォルトの動作です。 AWS Organizations。 デフォルトでは、 AWS Organizations が をアタッチする AWS すべてのルート
FullAWSAccess
、、OUsおよびアカウントに呼び出される マネージドポリシー。これにより、すべてのアカウントが なしで任意のサービスまたはオペレーションにアクセスできるようになります。 AWS Organizations- 強制的な制限。上記の許可リスト手法とは異なり、拒否リストを使用する場合は、デフォルトのFullAWSAccess
ポリシー (「すべて」を許可する) をそのまま使用します。ただしその後、不要なサービスやアクションへのアクセスを明示的に拒否する追加のポリシーをアタッチします。アクセスIAM許可ポリシーと同様に、サービスアクションの明示的な拒否は、そのアクションの許可よりも優先されます。
-