翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
このトピックでは、 で組織 AWS アカウント 内に を作成する方法について説明します AWS Organizations。単一の を作成する方法については AWS アカウント、「 入門リソースセンター
メンバーアカウントを作成する前に考慮すべき事項
Organizations はメンバーアカウントのIAMロールを自動的に作成OrganizationAccountAccessRole
します
組織内にメンバーアカウントを作成すると、Organizations はOrganizationAccountAccessRole
メンバーアカウントにIAMロールを自動的に作成し、管理アカウントのユーザーとロールがメンバーアカウントを完全に管理できるようにします。同じマネージドポリシーに関連付けられた追加アカウントは、ポリシーが更新されるたびに自動的に更新されます。このロールには、メンバーアカウントに適用されるサービスコントロールポリシー (SCPs) が適用されます。
Organizations は、メンバーアカウントのサービスにリンクされたロールを自動的に作成しますAWSServiceRoleForOrganizations
。
組織内にメンバーアカウントを作成すると、Organizations はメンバーアカウントにサービスにリンクされたロール AWSServiceRoleForOrganizations
を自動的に作成し、一部の AWS
サービスとの統合を可能にします。統合を許可するように他のサービスを設定する必要があります。詳細については、「AWS Organizations およびサービスにリンクされたロール」を参照してください。
メンバーアカウントは、スタンドアロンアカウントとして機能するために追加情報を必要とする場合がある
AWS は、メンバーアカウントがスタンドアロンアカウントとして動作するために必要なすべての情報を自動的に収集しません。組織からメンバーアカウントを削除してスタンドアロンアカウントにするには、削除する前に、そのアカウントの情報を入力する必要があります。詳細については、「でメンバーアカウントから組織を離れる AWS Organizations」を参照してください。
メンバーアカウントは組織のルートでのみ作成可能
組織のメンバーアカウントは、組織のルートでのみ作成でき、他の組織単位 () では作成できませんOUs。組織のメンバーアカウントのルートを作成したら、そのルートを 間で移動できますOUs。詳細については、「AWS Organizations を使用して、アカウントの組織単位 (OU) への移動または、ルートと OU 間の移動」を参照してください。
ルートにアタッチされたポリシーはすぐに適用される
ルートにアタッチされたポリシーがある場合、それらのポリシーは即時、作成されたアカウントのすべてのユーザーおよびロールに適用されます。
組織の別のサービスのサービス信頼を有効にしている場合、その信頼されたサービスは、サービスにリンクされたロールを作成したり、作成したアカウントを含む組織内の任意のメンバーアカウントでアクションを実行 AWSしたりできます。
によって管理される組織のメンバーアカウントは、 で作成 AWS Control Tower する必要があります AWS Control Tower
組織が によって管理されている場合は AWS Control Tower、 AWS Control Tower コンソールの AWS Control Tower Account Factory または を使用してメンバーアカウントを作成します AWS Control Tower APIs。組織が によって管理されているときに Organizations でメンバーアカウントを作成すると AWS Control Tower、そのアカウントは に登録されません AWS Control Tower。詳細については、AWS Control Tower ユーザーガイドの AWS Control Tower外のリソースを参照するを参照してください。
メンバーアカウントは、マーケティング E メールを受信するにはオプトインする必要がある
組織の一部として作成したメンバーアカウントは、 AWS マーケティング E メールに自動的にサブスクライブされません。マーケティングメールを受信するようアカウントをオプトインするには、https://pages.awscloud.com/communication-preferences
メンバーアカウントを作成する
組織の管理アカウントにサインインすると、組織に属するよう、メンバーアカウントを作成することができます。
次の手順を使用してアカウントを作成すると、 は管理アカウントから新しいメンバーアカウントに次の主要連絡先情報 AWS Organizations を自動的にコピーします。
-
電話番号
-
会社名
-
ウェブサイト URL
-
Address
また、組織はコミュニケーション言語と Marketplace 情報 (一部の アカウントのベンダー AWS リージョン) を管理アカウントからコピーします。
最小アクセス許可
組織にメンバーアカウントを作成するには、次のアクセス権限が必要です。
-
organizations:CreateAccount
-
organizations:DescribeOrganization
- Organizations コンソールを使用する場合にのみ必要 -
iam:CreateServiceLinkedRole
(メンバーアカウントに必要なサービスリンクロールを作成できるようにプリンシパルorganizations.amazonaws.com
に付与されます)。
自動的に組織の一部 AWS アカウント となる を作成するには
-
AWS Organizations コンソール
にサインインします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。 -
AWS アカウント
ページで、[Add an AWS アカウント] ( を追加) を選択します。 -
[Add an AWS アカウント]
( を追加) ページで、[Create an AWS アカウント] ( を作成) を選択します (デフォルトで選択されています)。 -
[Create an AWS アカウント]
( を作成) ページの [AWS アカウント name] ( 名) に、アカウントに割り当てる名前を入力します。この名前は、アカウントを組織内の他のアカウントと区別する際に役立ちます。IAM エイリアスまたは所有者のメールの名前とは異なります。 -
[Email address of the account's owner] (アカウント所有者のメールアドレス) に、アカウントの所有者のメールアドレスを入力します。この E メールアドレスは、アカウントのルートユーザーのユーザー名認証情報になる AWS アカウント ため、別の E メールアドレスにまだ関連付けることはできません。
-
(オプション) 新しいアカウント内に自動で作成される IAM ロールに割り当てられる名前を指定します。このロールは、組織の管理アカウントに、新しく作成されたメンバーアカウントへのアクセス許可を付与します。名前を指定しない場合、 はロールにデフォルト名 AWS Organizations を付与します
OrganizationAccountAccessRole
。一貫性を保つため、すべてのアカウントでデフォルトの名前を使用することをお勧めします。重要
このロールの名前を忘れないでください。後で、管理アカウントのユーザーおよびロールの新しいアカウントにアクセス権限を付与する際に必要になります。
-
(オプション) [タグ] セクションで、[タグの追加] を選択してキーとオプションの値を入力し、新しいアカウントに 1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、
null
にはなりません。1 つのアカウントに最大 50 個のタグをアタッチできます。 -
[Create AWS アカウント] (作成) を選択します。
-
組織のアカウントクォータを超えたことを示すエラーが表示された場合は、組織にアカウントを追加しようとすると「クォータを超えました」というメッセージが表示される を参照してください。
-
組織がまだ初期化中であるため、アカウントを追加できないことを示すエラーが表示された場合は 1 時間待ってから、もう一度試してください。
-
アカウントの作成が成功したかどうかについては、 AWS CloudTrail ログを確認することもできます。詳細については、「でのログ記録とモニタリング AWS Organizations」を参照してください。
-
エラーが引き続き発生する場合は、AWS サポート
までお問い合わせください。
AWS アカウント
ページが表示され、新しいアカウントがリストに追加されます。 -
-
アカウントが存在し、管理アカウントのユーザーに管理者アクセス権を付与する IAMロールを持つようになったので、「」のステップに従ってアカウントにアクセスできますを使用して組織のメンバーアカウントにアクセスする AWS Organizations。
以下のコード例は、CreateAccount
の使用方法を示しています。