AWS Organizations でアカウント招待を承諾または拒否する
組織への参加するための招待を受け取った場合は、招待を承諾または拒否できます。
考慮事項
組織に対するアカウントのステータスは、表示できるコストと使用状況のデータに影響する
メンバーアカウントが組織を離れてスタンドアロンアカウントになると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、スタンドアロンアカウントとして生成されたデータのみです。
メンバーアカウントが組織 A を離れ組織 B に参加すると、そのアカウントは組織 A のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、組織 B のメンバーとして生成されたデータのみです。
アカウントが以前に属していた組織に再参加すると、そのアカウントはコストと使用状況データの履歴へのアクセスを再び許可されます。
メンバーアカウントおよびスタンドアロンアカウントのみが、招待を承諾または拒否することが可能
メンバーアカウントおよびスタンドアロンアカウントのみが、組織への招待を承諾または拒否することができます。メンバーアカウントに招待が送信されたら、そのアカウントは現在の組織を離れてから招待を承諾する必要があります。既に組織に参加している管理アカウントに招待が送信された場合、そのアカウントは、組織からすべてのメンバーアカウントを削除して、組織を削除するまで、招待を承諾できません。
アカウントの招待を承諾または拒否する
招待を承諾または拒否するには、次の手順を実行します。
組織への招待を承認または拒否するには、次のアクセス権限が必要です。
-
organizations:ListHandshakesForAccount
- AWS Organizations コンソールで招待のリストを表示するために必要です。
-
organizations:AcceptHandshake
.
-
organizations:DeclineHandshake
.
-
iam:CreateServiceLinkedRole
– 招待を承諾する際に、他の AWS のサービスとの統合をサポートするためにサービスにリンクされたロールをアカウント内に作成する必要がある場合にのみ必須です。詳細については、「AWS Organizations とサービスにリンクされたロール」を参照してください。
- AWS Management Console
-
招待を承諾または辞退するには
-
組織への招待は、アカウント所有者の Eメールアドレスに送信されます。アカウント所有者が招待メールを受け取ったら、そのメール内の手順に従うか、ブラウザで AWS Organizations コンソールに移動し、[Invitations] (招待) を選択します。または、[member account's Invitation] (メンバーアカウントの招待) ページに直接移動することもできます。
-
プロンプトが表示されたら、招待されたアカウントに IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、アカウントのルートユーザー (推奨されません) としてサインインします。
-
メンバーアカウントの招待ページには、保留中の組織への招待が表示されます。
必要に応じて [Accept invitation] (招待を承諾) または [Decline invitation] (招待を辞退) を選択します。
-
前のステップで [Accept invitation] (招待を承諾) を選択した場合、コンソールは自動的に組織の概要ページにリダイレクトされます。このページで、メンバーアカウントになることを承諾した組織についての詳細を確認できます。組織の ID および所有者の Eメールアドレスが表示されます。
承諾済みの招待は、30 日間リストに表示され続けます。その後は削除されリストに表示されなくなります。
AWS Organizations は新しいメンバーアカウント内に自動的にサービスにリンクされたロールを作成し、AWS Organizations と他の AWS のサービスの間の統合をサポートします。詳細については、「AWS Organizations とサービスにリンクされたロール」を参照してください。
AWS より組織の管理アカウントの所有者に、招待が承諾されたことがメールで通知されます。また、メンバーアカウントの所有者に、組織のメンバーになったことがメールで通知されます。
-
前述のステップで辞退を選択した場合、アカウントは、その他の保留中の招待が表示されているメンバーアカウントの招待ページにそのまま表示され続けます。
AWS より組織の管理アカウントの所有者に、招待が辞退されたことがメールで通知されます。
拒否された招待は、30 日間リストに表示され続けます。その後は削除されリストに表示されなくなります。
- AWS CLI & AWS SDKs
-
招待を承諾または辞退するには
招待を承諾または拒否するには、次のコマンドを使用します。
-
AWS CLI: accept-handshake、decline-handshake
次の例は、組織への招待を承諾する方法を示しています。
$
aws organizations accept-handshake --handshake-id h-examplehandshakeid111
{
"Handshake": {
"Action": "INVITE",
"Arn": "arn:aws:organizations::111111111111:handshake/o-exampleorgid/invite/h-examplehandshakeid111",
"RequestedTimestamp": 1481656459.257,
"ExpirationTimestamp": 1482952459.257,
"Id": "h-examplehandshakeid111",
"Parties": [
{
"Id": "o-exampleorgid",
"Type": "ORGANIZATION"
},
{
"Id": "juan@example.com",
"Type": "EMAIL"
}
],
"Resources": [
{
"Resources": [
{
"Type": "MASTER_EMAIL",
"Value": "bill@amazon.com"
},
{
"Type": "MASTER_NAME",
"Value": "Management Account"
},
{
"Type": "ORGANIZATION_FEATURE_SET",
"Value": "ALL"
}
],
"Type": "ORGANIZATION",
"Value": "o-exampleorgid"
},
{
"Type": "EMAIL",
"Value": "juan@example.com"
}
],
"State": "ACCEPTED"
}
}
次の例は、組織への招待を辞退する方法を示しています。
-
AWS SDK: AcceptHandshake、DeclineHandshake