翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の用語と概念 AWS Organizations
このトピックでは、 の主要な概念について説明します AWS Organizations。
次の図は、組織を示しています。この組織は、5 つのアカウントで構成されており、そのアカウントは、ルートを親として、4 つの組織単位 (OU) に分類されています。この組織には、複数のポリシーがあり、OU の一部、またはアカウントに直接アタッチされています。
これらの各項目の詳細については、このトピックの定義を参照してください。
**Topics**
+ [利用可能な機能セット](#feature-set)
+ [組織構造](#organization-structure)
+ [招待とハンドシェイク](#invitations-handshakes)
+ [組織ポリシー](#organization-policies)
## 利用可能な機能セット
**すべての機能 (推奨)**
*すべての機能は*、 で使用できるデフォルトの機能セットです AWS Organizations。組織全体の一元的なポリシーと設定要件の設定、組織内のカスタムアクセス許可や機能の作成、1 回の請求でアカウントの管理と整理、組織に代わって他のアカウントに責任を委任できます。また、他の AWS のサービス と統合することで、組織内のすべてのメンバーアカウントにわたる中央設定、セキュリティメカニズム、監査要件、リソース共有を定義することもできます。詳細については、「[を他の AWS Organizations で使用する AWS のサービス](orgs_integrate_services.md)」を参照してください。
すべての機能モードには、一括請求のすべての機能と管理機能が用意されています。
**一括請求**
*一括請求*は、共有請求機能を提供する機能セットですが、より高度な機能は含まれていません AWS Organizations。たとえば、他の AWS のサービスが組織と統合してすべてのアカウントで動作するようにしたり、ポリシーを使用して異なるアカウントのユーザーとロールが実行できる操作を制限したりすることはできません。
組織の設定を一括請求機能 (コンソリデーティッドビリング) のみのサポートからすべての機能のサポートに変更することができます。すべての機能を有効にするには、招待済みのすべてのメンバーアカウントを使用して、管理アカウントでプロセスを開始する際に送信される招待を承認し、変更を承認する必要があります。詳細については、「[を使用して組織のすべての機能を有効にする AWS Organizations](orgs_manage_org_support-all-features.md)」を参照してください。
## 組織構造
**組織**
*組織*とは、一元的に管理し、上部に[ルート](#root)があり、ルートの下にネストされた[組織単位](#organizationalunit)を持つ階層的な木のような構造に整理できる [AWS アカウント](#account)のコレクションです。各アカウントは、ルートに直接含めるか、階層内の OU のいずれかに配置することができます。
各組織は以下で構成されます。
+ [管理アカウント](#management-account)
+ ゼロ以上の[メンバーアカウント](#member-account)
+ ゼロ以上の[組織単位 (OU)](#organizationalunit)
+ ゼロ以上の[ポリシー](#organization-policies)。
組織には、有効にする[機能セット](#feature-set)によって決定された機能を含みます。
**ルート**
*管理ルート (ルート)* は[管理アカウント](#management-account)に含まれ、[AWS アカウント](#management-account)を整理するための出発点です。ルートは、組織の階層で最上位のコンテナです。このルートでは、[組織単位 (OU)](#organizationalunit) を作成してアカウントを論理的にグループ化し、ニーズに最適な階層 OU に整理できます。
[管理ポリシー](#management-policies)をルートに適用する場合は、組織の管理アカウントを含む、すべての[組織単位 (OU)](#organizationalunit) と[アカウント](#account)に適用されます。
承認ポリシー (サービスコントロールポリシー (SCP) など) をルートに適用すると、組織内のすべての組織単位 (OU) と[メンバーアカウント](#member-account)に適用されます。組織の管理アカウントには適用されません。
組織の作成時に AWS Organizations ルートを自動的に作成できるのは 1 つの root のみです。
**組織単位 (OU)**
*組織単位 (OU)* は、組織内の [AWS アカウント](#account)のグループです。OU には、階層を作成できる他の OU を含めることもできます。例えば、同じ部門に属するすべてのアカウントを部門 OU にグループ化できます。同様に、セキュリティサービスを実行しているすべてのアカウントをセキュリティ OU にグループ化できます。
OU は、組織内のアカウントのサブセットに同じコントロールを適用する必要がある場合に役立ちます。OU ネストすると、管理単位が小さくなります。例えば、ワークロードごとに OU を作成し、ワークロード OU ごとにネストされた OU を 2 つ作成して、本番ワークロードを本番稼働前から分割できます。これらの OU は、チームレベルの OU に直接割り当てられたコントロールに加えて、親 OU からポリシーを継承します。最も低い OUs に AWS アカウント 作成された[ルート](#root)と を含めると、階層の深さは 5 レベルになります。
**AWS アカウント**
*AWS アカウント* は、 AWS リソースのコンテナです。で AWS リソースを作成および管理し AWS アカウント、 AWS アカウント はアクセスと請求のための管理機能を提供します。
複数の を使用すること AWS アカウント は、コストの請求境界を提供し、セキュリティのためにリソースを分離し、新しいプロセスに適応できるだけでなく、柔軟性や個人やチームも提供するため、環境をスケーリングするためのベストプラクティスです。
AWS アカウントはユーザーとは異なります。[ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html#intro-identity-users)は、 AWS Identity and Access Management (IAM) を使用して作成する ID で、[長期の認証情報を持つ IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)か、[短期の認証情報を持つ IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)のどちらかの形態をとります。1 つの AWS アカウントには、多数のユーザーとロールを含めることができ、通常は含めることができます。
組織は 2 種類のアカウントで構成されます。一つは[管理アカウント](#management-account)として指定された単一のアカウント、もう一つは 1 つ以上の[メンバーアカウント](#member-account)です。
**管理アカウント**
*管理アカウント*は、組織の作成 AWS アカウント に使用する です。管理アカウントから、以下のことができます。
+ 組織内の他のアカウントを作成する
+ 他のアカウントを組織に参加するよう[招待し、招待を管理する](#invitations-handshakes)
+ [委任管理者アカウント](#delegated-admin)を指定する
+ 組織からアカウントを削除する
+ [ルート](#root)、[組織単位 (OU)](#organizationalunit)、組織内のアカウントなどのエンティティにポリシーをアタッチする
+ サポートされている AWS サービスとの統合を有効にして、組織内のすべてのアカウントでサービス機能を提供します。
管理アカウントは組織の最終的な所有者であり、セキュリティ、インフラストラクチャ、財務ポリシーを最終的に制御します。このアカウントには支払者アカウントの役割があり、組織内のアカウントによって発生したすべての料金を支払う責任があります。
**注意事項**
+ 組織内のアカウントを管理アカウントに変更することはできません。
+ 管理アカウントはルートの直下である必要はなく、組織内のどこにでも配置できます。
**メンバーアカウント**
*メンバーアカウント*は AWS アカウント、組織の一部である管理アカウント以外の です。組織の[管理者](#delegated-admin)であれば、組織内にメンバーアカウントを作成したり、既存のアカウントを組織に招待して参加させることができます。メンバーアカウントにポリシーを適用することもできます。
メンバーアカウントは、一度に 1 つの組織のみに所属できます。メンバーアカウントを委任管理者アカウントとして指定できます。
**委任管理者**
管理アカウントとそのユーザーおよびロールは、そのアカウントで実行する必要のあるタスクのみに使用することをおすすめします。 AWS リソースを組織内の他のメンバーアカウントに保存し、管理アカウントからは切り離すことをおすすめします。これは、Organizations のサービスコントロールポリシー (SCP) などのセキュリティ機能は、管理アカウントのどのユーザーやどのロールにも制限を加えることができないためです。また、リソースを管理アカウントから分離することで、請求書に記載される請求額が理解しやすくなります。組織の管理アカウントから、1 つ以上のメンバーアカウントを委任管理者アカウントとして指定すると、この推奨事項を実施するうえで役立ちます。委任管理者には次の 2 種類があります。
+ Organizations の委任管理者:これらのアカウントからは、組織のポリシーを管理したり、組織内のエンティティ(ルート、OU、またはアカウント)にポリシーをアタッチしたりできます。管理アカウントは、委任権限をきめ細かく制御できます。詳細については、「[の委任管理者 AWS Organizations](orgs_delegate_policies.md)」を参照してください。
+ AWS サービスの委任管理者: これらのアカウントから、Organizations と統合する AWS サービスを管理できます。管理アカウントは、必要に応じて異なるメンバーアカウントをさまざまなサービスの委任管理者として登録できます。これらのアカウントには、特定のサービスの管理者権限と、Organizations の読み取り専用アクションの権限があります。詳細については、[Organizations と連携 AWS のサービス する の委任された管理者](orgs_integrate_delegated_admin.md)を参照してください。
## 招待とハンドシェイク
**招待**
*招待*は、組織の管理アカウントが別の[アカウント](#account)に対して行うリクエストです。例えば、スタンドアロンアカウントに[組織](#org)に参加するようたずねるプロセスが招待です。
招待は[ハンドシェイク](#handshake)として実装されます。 AWS Organizations コンソールで作業している場合、ハンドシェイクが表示されないことがあります。ただし、 AWS CLI または AWS Organizations API を使用する場合は、ハンドシェイクを直接操作する必要があります。
**ハンドシェイク**
*ハンドシェイク*は、送信者と受信者の 2 つの AWS アカウント間の安全な情報交換です。
次のハンドシェイクがサポートされています。
+ **INVITE**: 送信者の組織に参加するようスタンドアロンアカウントに送信されたハンドシェイク。
+ **ENABLE\_ALL\_FEATURES**: 組織のすべての機能を有効にするため、招待されたメンバーアカウントに送信されたハンドシェイク。
+ **APPROVE\_ALL\_FEATURES**: 招待されたすべてのメンバーアカウントがすべての機能を有効にすることを承認したときに、管理アカウントに送信されるハンドシェイク。
通常、ハンドシェイクと直接やり取りする必要があるのは、 AWS Organizations API や などのコマンドラインツールを使用する場合のみです AWS CLI。
## 組織ポリシー
*ポリシー*は、グループに適用するコントロールを定義する 1 つ以上のステートメントを含む「ドキュメント」です AWS アカウント。 は、認可ポリシーと管理ポリシー AWS Organizations をサポートしています。
### 承認ポリシー
認可ポリシーは、組織全体の のセキュリティ AWS アカウント を一元管理するのに役立ちます。
**サービスコントロールポリシー (SCP)**
*サービスコントロールポリシー*は、組織の IAM ユーザーと IAM ロールが利用できる最大数のアクセス許可を一元的管理できるポリシーの一種です。
つまり、SCP はプリンシパル中心のコントロールを指定します。SCP は、アクセス許可ガードレールを作成するか、メンバーアカウントのプリンシパルが利用できるアクセス許可の上限を設定します。SCP は、組織内のプリンシパルに一貫したアクセスコントロールを一元的に適用する場合に使用します。
これには、IAM ユーザーと IAM ロールがアクセスできるサービス、アクセスできるリソース、またはリクエストを実行できる条件 (特定のリージョンやネットワークからなど) の指定が含まれます。詳細については、「[SCP](orgs_manage_policies_scps.md)」を参照してください。
**リソースコントロールポリシー (RCP)**
*サービスコントロールポリシー*は、組織のリソースが利用できる最大数のアクセス許可を一元的管理できるポリシーの一種です。
つまり、RCP はリソース中心のコントロールを指定します。RCP は、メンバーアカウントのリソースで使用できる最大アクセス許可に対するアクセス許可ガードレールを作成するか、もしくは制限を設定します。組織内のリソース間で一貫したアクセスコントロールを一元的に適用する場合は、RCP を使用します。
これには、組織に属する ID のみがアクセスできるようにリソースへのアクセスを制限したり、組織外部の ID がリソースにアクセスできる条件を指定したりすることが含まれます。詳細については、「[RCP](orgs_manage_policies_rcps.md)」を参照してください。
### 管理ポリシー
管理ポリシーは、組織全体で AWS のサービス とその機能を一元的に設定および管理するのに役立ちます。
+ **[宣言型ポリシー](orgs_manage_policies_declarative.md)**を使用すると、組織全体 AWS のサービス で特定の に必要な設定を一元的に宣言して適用できます。一度接続すると、サービスに新しい機能や API が追加されても、設定は常に維持されます。
+ **[バックアップポリシー](orgs_manage_policies_backup.md)**を使用すると、バックアッププランを一元管理し、組織のアカウント全体の AWS リソースに適用できます。
+ **[タグポリシー](orgs_manage_policies_tag-policies.md)**を使用すると、組織のアカウントの AWS リソースにアタッチされたタグを標準化できます。
+ **[チャットアプリケーションポリシー](orgs_manage_policies_chatbot.md)**を使用することで、Slack や Microsoft Teams などのチャットアプリケーションから組織のアカウントへのアクセスを制御できます。
+ **[AI サービスのオプトアウトポリシー](orgs_manage_policies_ai-opt-out.md)**を使用すると、組織内のすべてのアカウントの AWS AI サービスのデータ収集を制御できます。
+ **[Security Hub ポリシー](orgs_manage_policies_security_hub.md)**を使用することで、組織のセキュリティ要件に沿ってセキュリティカバレッジのギャップに対処し、組織全体に一元的にポリシーを適用できます。
+ **[Amazon Inspector ポリシー](orgs_manage_policies_inspector.md)**を使用すると、 AWS 組織内のアカウント間で Amazon Inspector を一元的に有効化および管理できます。
+ **[Amazon Bedrock ポリシー](orgs_manage_policies_bedrock.md)**を使用すると、Amazon Bedrock へのすべてのモデル推論呼び出しについて、組織構造の任意の要素にわたって Amazon Bedrock ガードレールで設定された保護を自動的に適用できます。
+ **[アップグレードロールアウトポリシー](orgs_manage_policies_upgrade_rollout.md)**を使用すると、組織内の複数の AWS リソースとアカウント間で自動アップグレードを一元管理し、ずらすことができます。
+ **[Amazon S3 ポリシー](orgs_manage_policies_s3.md)**を使用すると、組織内のアカウント全体で Amazon S3 リソースの設定を大規模に一元管理できます。
+ **[AWS Shield Network Security Director ポリシー](orgs_manage_policies_network_security_director.md)**を使用すると、組織内のアカウント全体で AWS Shield Network Security Director を一元的に有効化および管理できます。