チュートリアル: 組織の作成と設定

1. アカウント 111111111111 の管理者 AWS として にサインインし、AWS Organizations コンソール を開きます。

2. 概要ページで、[Create an organization] (組織を作成する) を選択します。

3. 確認ダイアログボックスで、[Create an organization] (組織を作成する) を選択します。

   注記

   デフォルトでは、組織はすべての機能を有効にして作成されます。また、一括請求機能のみを有効にした組織を作成することもできます。

   AWS が組織を作成し、AWS アカウントページを表示します。別のページが表示されている場合は、左側のナビゲーションペインで AWS アカウント を選択します。

   これまでに、ご利用のアカウントのメールアドレスが認証されたことがない場合は、管理アカウントに関連付けられたアドレスに、検証用の E メールが AWSによって自動的に送信されます。検証 E メールの受信には時間がかかる場合があります。

4. 24 時間以内に E メールアドレスを検証します。詳細については、「による E メールアドレスの検証 AWS Organizations」を参照してください。

参加する既存のアカウントを招待するには

1. AWS アカウントページに移動し、[Add an AWS アカウント] ( AWS アカウントの追加) を選択します。

2. 「 AWS アカウントの追加」ページで、「既存の を招待する AWS アカウント」を選択します。

3. [Email address or account ID of an AWS アカウント to invite] (招待する AWS アカウント の E メールアドレスまたはアカウント ID) ボックスに、招待するアカウントの所有者の E メールアドレスを member222@example.com のように入力します。または、 AWS アカウント ID 番号がわかっている場合は、代わりに入力できます。

4. [Message to include in the invitation email message] (招待 E メールのメッセージに含めるメッセージ) ボックスに、必要なテキストを入力します。このテキストに含まれているアカウントの所有者に E メールが送信されます。

5. 招待を送信 を選択します。 は招待をアカウント所有者 AWS Organizations に送信します。

   重要

   エラーがある場合、エラーメッセージを展開します。組織のアカウント制限を超過したことを示すエラーが発生した場合、または組織がまだ初期化中であるためアカウントを追加できない場合は、組織を作成してから 1 時間後にもう一度試してください。それでもエラーが解決しない場合は、AWS サポートまでお問い合わせください。

6. このチュートリアルでは、独自の招待を受け入れる必要があります。次のいずれかを実行して、コンソールの [Invitations] ページに移動します。

   • 管理アカウントから AWS 送信された E メールを開き、招待を受け入れるリンクを選択します。サインインするように求められたら、招待されたメンバーアカウントの管理者としてログインします。

   • AWS Organizations コンソールを開き、[Invitations] (招待) ページに移動します。

7. AWS アカウント ページで、[Accept] (許可)、[Confirm] (確認) の順に選択します。

   ヒント

   招待の送信が遅れることがあるため、招待を受信するまで待つ必要がある場合があります。

8. メンバーアカウントからサインアウトし、管理アカウントの管理者ユーザーとして再度サインインします。

メンバーアカウントを作成するには

1. AWS Organizations コンソールのAWS アカウントページで、「追加 AWS アカウント」を選択します。

2. [Add an AWS アカウント] ( の追加) ページで、[Create an AWS アカウント] ( の作成) を選択します。

3. [AWS アカウント name] (AWS アカウント 名) には、MainApp Account などのアカウント名を入力します。

4. [Email address of the account's root user] (アカウントのルートユーザーの E メールアドレス) には、アカウントに代わって通信を受信する個人の E メールアドレスを入力します。この値は、グローバルで一意であることが必要です。2 つのアカウントで同じ E メールアドレスを使用することはできません。たとえば、mainapp@example.com のようなものを使用できます。

5. [IAM role name] の場合は、このフィールドを空白のままにしてデフォルトのロール名 OrganizationAccountAccessRole を自動的に使用するか、独自の名前を付けることができます。このロールを使用すると、管理アカウントで IAM ユーザーとしてサインインしたときに、新しいメンバーアカウントにアクセスできます。このチュートリアルでは、ブランクのままにして、 AWS Organizations にデフォルト名のロールを作成するよう指示します。

6. [作成] AWS アカウント を選択します。新しいアカウントが AWS アカウント ページに表示されるのを確認するには、しばらく待ってからページを更新する必要があります。

   重要

   組織のアカウント制限を超過したことを示すエラーが発生した場合、または組織がまだ初期化中であるためアカウントを追加できない場合は、組織を作成してから 1 時間待つか、もう一度試してください。それでもエラーが解決しない場合は、AWS サポートまでお問い合わせください。

OU を作成して設定するには

1. AWS Organizations コンソールで、AWS アカウント ページに移動します。

2. ルートコンテナの横にあるチェックボックス をオンにします。

3. Actions ドロップダウンを選択し、Organizational unit で、Create new を選択します。

4. [Create organizational unit in Root] (ルートでの組織単位の作成) ページで、[Organizational unit name] (組織単位名) に Production と入力し、[Create organizational unit] (組織単位の作成) を選択します。

5. 新しいProduction OU の横にあるチェックボックス をオンにします。

6. [Actions] (アクション) を選択し、[Organizational unit] (組織単位) で [Create new] (新規作成) を選択します。

7. [Create organizational unit in Production] (本番環境での組織単位の作成) ページで、2 番目の OU の名前として MainApp を入力し、[Create organizational unit] (組織単位の作成) を選択します。

   これで、メンバーアカウントをこれらの OU に移動できます。

8. AWS アカウントページに戻り、[Production OU] (運用 OOU) の横にある三角形 をクリックして、その下のツリーを展開します。これにより、本番稼働用 MainApp の子として OU が表示されます。

9. [333333333333] の横にあるチェックボックス をオンにし (名前ではない)、[アクション] を選択してから、AWS アカウント の下の [移動] を選択します。

10. AWS アカウント 333333333333」の移動ページで、本番稼働用 の横にある三角形を選択して展開します。の横にあるMainAppラジオボタン (名前ではない) を選択し、「 の移動 AWS アカウント」を選択します。

11. [222222222222] の横にあるチェックボックス をオンにし (名前ではない)、[アクション] を選択してから、AWS アカウント の下の [移動] を選択します。

12. AWS アカウント 222222222222」の移動ページで、本番稼働用 の横にあるラジオボタン (名前ではない) を選択し、「 の移動 AWS アカウント」を選択します。

組織の SCP を有効にするには

1. ポリシーページに移動し、[サービスコントロールポリシー] を選択します。

2. サービスコントロールポリシー ページで、[サービスコントロールポリシーを有効にする] を選択します。

   緑色のバナーが表示され、組織で SCP を作成できるようになりました。

CloudTrail 設定アクションをブロックする最初の SCP を作成するには

1. ポリシーページに移動し、[サービスコントロールポリシー] を選択します。

2. サービスコントロールポリシーページで、[ポリシーの作成] を選択します。

3. [ポリシー名] に「Block CloudTrail Configuration Actions」と入力します。

4. ポリシーセクションの右側のサービスのリストで、サービスの CloudTrail を選択します。次に、、AddTags、CreateTrail、、DeleteTrail、RemoveTags、StopLoggingおよび StartLoggingのアクションを選択しますUpdateTrail。

5. 右側のペインで、リソースを追加 を選択し、 CloudTrailとすべてのリソース を指定します。[リソースの追加] を選択します。

   左側のポリシーステートメントは次のようになります。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Stmt1234567890123",
               "Effect": "Deny",
               "Action": [
                   "cloudtrail:AddTags",
                   "cloudtrail:CreateTrail",
                   "cloudtrail:DeleteTrail",
                   "cloudtrail:RemoveTags",
                   "cloudtrail:StartLogging",
                   "cloudtrail:StopLogging",
                   "cloudtrail:UpdateTrail"
               ],
               "Resource": [
                   "*"
               ]
           }
       ]
   }

6. [ポリシーの作成] を選択します。

Production OU の承認されたサービスを許可する第 2 のポリシーを作成するには

1. サービスコントロールポリシーページから、[Create policy] (ポリシーの作成) を選択します。

2. [ポリシー名] に「Allow List for All Approved Services」と入力します。

3. カーソルの右ペインの [ポリシー] セクションに合わせ、次のようにポリシーを貼り付けます。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Stmt1111111111111",
               "Effect": "Allow",
               "Action": [ 
                   "ec2:*",
                   "elasticloadbalancing:*",
                   "codecommit:*",
                   "cloudtrail:*",
                   "codedeploy:*"
                 ],
               "Resource": [ "*" ]
           }
       ]
   }

4. [ポリシーの作成] を選択します。

MainApp OU で使用できないサービスへのアクセスを拒否する 3 番目のポリシーを作成するには

1. サービスコントロールポリシーページから、[Create policy] (ポリシーの作成) を選択します。

2. [ポリシー名] に「Deny List for MainApp Prohibited Services」と入力します。

3. 左側の [Policy] (ポリシー) セクションで、サービスに [Amazon DynamoDB] を選択します。アクションでは、[すべてのアクション] を選択します。

4. 引き続き左側のペインで、[Add resource](リソースの追加) を選択し、[DynamoDB] および [All Resources] (すべてのリソース) を指定します。[リソースの追加] を選択します。

   右側の更新ポリシーステートメントは次のようになります。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Deny",
         "Action": [ "dynamodb:*" ],
         "Resource": [ "*" ]
       }
     ]
   }

5. [ポリシーの作成] を選択して SCP を保存します。

root と OU にポリシーをアタッチするには

1. AWS アカウント ページに移動します。

2. AWS アカウントページで、[Root] (ラジオボタンではなく名前) を選択し、詳細ページに移動します。

3. [Root] (ルート) の詳細ページで [Policies] (ポリシー) を選択してから、[Service Control Policies] (サービスコントロールポリシー) で [Attach] (アタッチ) を選択します

4. [Attach a service control policy] (サービスコントロールポリシーのアタッチ) ページで、SCP の横にある Block CloudTrail Configuration Actions というラジオボタンをクリックし、[Attach] (アタッチ) を選択します。このチュートリアルでは、ルートにアタッチして、すべてのメンバーアカウントに影響を与え、ユーザーが を設定した方法を変更できないようにします CloudTrail。

   [Root] (ルート) の詳細ページの [Policies] (ポリシー) タブで、2 つの SCP (アタッチした SCP とデフォルトの FullAWSAccess SCP) がルートにアタッチされていることが確認できました。

5. AWS アカウントページに戻り、[Production OU] (ラジオボタンではなく名前) を選択して、詳細ページに移動します。

6. [Production OU] の詳細ページで、[Policies] (ポリシー) タブを選択します。

7. [Service Control Policies] (サービスコントロールポリシー) で [Attach] (アタッチ) を選択します。

8. [Attach a service control policy] (サービスコントロールポリシーのアタッチ) ページで、Allow List for All Approved Services の横にあるラジオボタンをクリックしてから [Attach] (アタッチ) を選択します。これにより、Production OUのメンバーアカウントのユーザーまたはロールが、承認されたサービスにアクセスできるようになります。

9. [ポリシー] タブを再度選択して、2 つの SCP が OU にアタッチされていることを確認します。先ほどアタッチした SCPと、デフォルトの FullAWSAccess SCPです。ただし、FullAWSAccess SCP はすべてのサービスとアクションを許可する許可リストでもあるため、承認されたサービスのみが許可されるように、今はこの SCP をデタッチする必要があります。

10. 本番稼働用 OU からデフォルトポリシーを削除するには、ラジオボタンの「フルAWSAccess」を選択し、「デタッチ」を選択し、確認ダイアログボックスの「ポリシーのデタッチ」を選択します。

    このデフォルトポリシーを削除すると、Production OU のすべてのメンバーアカウントは、直前のステップでアタッチした、許可リスト SCP にないすべてのアクションとサービスにすぐにアクセスできなくなります。Allow List for All Approved Services SCP に含まれていないアクションを使用するリクエストはすべて拒否されます。これは、アカウントの管理者が、メンバーアカウントのいずれかのユーザーに IAM アクセス許可ポリシーをアタッチして別のサービスへのアクセスを許可する場合にも当てはまります。

11. これで、 という名前の SCP をアタッチDeny List for MainApp Prohibited servicesして、 MainApp OU 内のアカウント内の誰も制限されたサービスを使用できないようにできます。

    これを行うには、AWS アカウントページに移動し、三角形のアイコンを選択して本番稼働用 OU MainApp のブランチを展開し、OU (ラジオボタンではなく名前) を選択してその内容に移動します。

12. MainApp 詳細ページで、ポリシータブを選択します。

13. 「サービスコントロールポリシー」で「アタッチ」を選択し、使用可能なポリシーのリストで MainApp 「禁止対象サービスの拒否リスト」の横にあるラジオボタンを選択し、「ポリシーのアタッチ」を選択します。