翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# とは AWS Organizations
** AWS リソースをスケールしながら環境を一元管理する**
AWS Organizations は、 AWS リソースの拡大とスケーリングに合わせて環境を一元的に管理および管理するのに役立ちます。Organizations を使用すると、アカウントの作成、リソースの割り当て、ワークロードを整理するためのアカウントのグループ化、ガバナンスへのポリシーの適用、すべてのアカウントに単一の支払い方法を使用した請求の簡素化が可能になります。
Organizations は他の と統合 AWS のサービス されているため、組織内のアカウント間で中央設定、セキュリティメカニズム、監査要件、リソース共有を定義できます。詳細については、「[を他の AWS Organizations で使用する AWS のサービス](orgs_integrate_services.md)」を参照してください。
次の図は、 AWS Organizationsの使用方法の概要を示しています。
+ アカウントを追加する
+ アカウントをグループ化する
+ ポリシーを適用する
+ 有効にします AWS のサービス。
![\[この画像は、アカウントの追加、アカウントのグループ化、ポリシーの適用、有効化の AWS Organizations 仕組みを示しています AWS のサービス。\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/organizations-how-it-works.png)
**Topics**
+ [機能](#features)
+ [ユースケース](#use-cases)
+ [用語と概念](orgs_getting-started_concepts.md)
+ [クォータとサービス制限](orgs_reference_limits.md)
+ [リージョンのサポート](region-support.md)
+ [請求と料金](pricing.md)
+ [サポートとフィードバック](support-and-feedback.md)
## の機能 AWS Organizations
AWS Organizations には次の機能があります。
**の管理 AWS アカウント**
AWS アカウント は、アクセス許可、セキュリティ、コスト、ワークロードの自然境界です。マルチアカウント環境は、クラウド環境をスケーリングするときに推奨されるベストプラクティスです。 AWS Command Line Interface (AWS CLI)、 SDKs、または APIs を使用して新しいアカウントをプログラムで作成し、[AWS CloudFormation StackSets ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)を使用してそれらのアカウントに推奨されるリソースとアクセス許可を一元的にプロビジョニングすることで、アカウントの作成を簡素化できます。
**組織の定義と管理**
新しいアカウントを作成するときに、それらを組織単位 (OU) または単一のアプリケーションまたはサービスを提供するアカウントのグループにグループ化できます。タグポリシーを適用して、組織内のリソースを分類または追跡し、ユーザーまたはアプリケーションに属性ベースのアクセスコントロールを提供します。さらに、サポートされている の責任を AWS のサービス アカウントに委任して、ユーザーが組織に代わって管理できるようにします。
**アカウントの保護とモニタリング**
セキュリティチームが組織に代わって、セキュリティニーズを管理するためのツールとアクセスを一元的に提供することができます。例えば、アカウント間で読み取り専用のセキュリティアクセスを提供し、[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) を使用して脅威を検出して緩和し、[IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) を使用してリソースへの意図しないアクセスを確認し、[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) を使用して機密データを保護することができます。
**アクセスとアクセス許可を制御する**
アクティブディレクトリを使用して AWS アカウント および リソースにアクセスできるように [AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) を設定し、個別のジョブロールに基づいてアクセス許可をカスタマイズします。ユーザー、アカウント、または OU に[組織ポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)を適用することもできます。たとえば、[サービスコントロールポリシー (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) を使用すると、組織内の AWS リソース、サービス、リージョンへのアクセスを制御できます。[リソースコントロールポリシー (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) を使用すると、 AWS リソースの意図しない使用を一元的に防止できます。[チャットアプリケーションポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_chatbot.html)を使用することで、Slack や Microsoft Teams などのチャットアプリケーションから組織のアカウントへのアクセスを制御できます。
**アカウント間でリソースを共有する**
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) を使用して、組織内で AWS リソースを共有できます。例えば、[Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) サブネットを 1 回作成し、組織全体で共有できます。また、[AWS License Manager](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html) とのソフトウェアライセンスに一元的に同意し、[AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html) アカウント間で IT サービスとカスタム製品のカタログを共有することもできます。
**コンプライアンスの環境を監査する**
アカウント [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 間でアクティブ化できます。これにより、メンバーアカウントではオフまたは変更できないクラウド環境内のすべてのアクティビティのログが作成されます。さらに、 を使用して指定した頻度でバックアップを適用するポリシーを設定したり[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)、アカウント間および AWS リージョン を使用してリソースの推奨構成設定を定義したりできます[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。
**請求とコストを一元管理**
Organizations では、単一の統合された請求書が提供されます。さらに、[AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html) を使用してアカウント間でリソースの使用状況を表示し、コストを追跡したり、[AWS Compute Optimizer](https://docs.aws.amazon.com/managedservices/latest/userguide/compute-optimizer.html) を使用してコンピューティングリソースの使用を最適化たりできます。
## のユースケース AWS Organizations
以下は、いくつかのユースケースです AWS Organizations。
**ワークロードの作成 AWS アカウント と分類を自動化する**
の作成を自動化 AWS アカウント して、新しいワークロードをすばやく起動できます。アカウントをユーザー定義グループに追加して、即時セキュリティポリシーアプリケーション、タッチレスインフラストラクチャデプロイ、監査を行います。個別のグループを作成して開発アカウントと本番稼働アカウントを分類し、[AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) を使用して各グループにサービスとアクセス許可をプロビジョニングします。
**監査ポリシーとコンプライアンスポリシーを定義して適用する**
サービスコントロールポリシー (SCP) を適用して、ユーザーがセキュリティおよびコンプライアンス要件を満たすアクションのみを実行できるようにします。[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) を使用して、組織全体で実行されたすべてのアクションの中央ログを作成します。 AWS リージョン を使用して、アカウント間および 間で標準リソース設定を表示および適用します[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) を使用して、定期的なバックアップを自動的に適用します。を使用して[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)、 AWS ワークロードのセキュリティ、オペレーション、コンプライアンスにパッケージ化されたガバナンスルールを適用します。
**開発を奨励しながら、セキュリティチームにツールとアクセスを提供する**
セキュリティグループを作成し、すべてのリソースへの読み取り専用アクセスを提供し、セキュリティ上の懸念を特定して軽減します。そのグループが [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) を管理できるようにすることで、ワークロードに対する脅威を積極的にモニタリングして軽減し、[IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) でリソースへの意図しないアクセスをすばやく特定できます。
**アカウント間で共通リソースを共有する**
Organizations を使用すると、アカウント間で重要なセントラルリソースを簡単に共有できます。例えば、セントラル [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) を共有して、アプリケーションがセントラル ID ストアにアクセスするようにできます。
**アカウント間で重要なセントラルリソースを共有する**
[AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) をアプリケーションのセントラル ID ストアとして共有します。[AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html) を使用して、指定されたアカウントで IT サービスを共有し、ユーザーが承認されたサービスをすばやく検出してデプロイできるようにします。[Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) サブネットにアプリケーションリソースが作成されていることを確認します。アプリケーションリソースは 1 回一元的に定義し、[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) を使用して組織全体で共有します。
# の用語と概念 AWS Organizations
このトピックでは、 の主要な概念について説明します AWS Organizations。
次の図は、組織を示しています。この組織は、5 つのアカウントで構成されており、そのアカウントは、ルートを親として、4 つの組織単位 (OU) に分類されています。この組織には、複数のポリシーがあり、OU の一部、またはアカウントに直接アタッチされています。
これらの各項目の詳細については、このトピックの定義を参照してください。
![\[基本的な組織の図\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/AccountOuDiagram.png)
**Topics**
+ [
## 利用可能な機能セット
](#feature-set)
+ [
## 組織構造
](#organization-structure)
+ [
## 招待とハンドシェイク
](#invitations-handshakes)
+ [
## 組織ポリシー
](#organization-policies)
## 利用可能な機能セット
**すべての機能 (推奨)**
*すべての機能は*、 で使用できるデフォルトの機能セットです AWS Organizations。組織全体の一元的なポリシーと設定要件の設定、組織内のカスタムアクセス許可や機能の作成、1 回の請求でアカウントの管理と整理、組織に代わって他のアカウントに責任を委任できます。また、他の AWS のサービス と統合することで、組織内のすべてのメンバーアカウントにわたる中央設定、セキュリティメカニズム、監査要件、リソース共有を定義することもできます。詳細については、「[を他の AWS Organizations で使用する AWS のサービス](orgs_integrate_services.md)」を参照してください。
すべての機能モードには、一括請求のすべての機能と管理機能が用意されています。
**一括請求**
*一括請求*は、共有請求機能を提供する機能セットですが、より高度な機能は含まれていません AWS Organizations。たとえば、他の AWS のサービスが組織と統合してすべてのアカウントで動作するようにしたり、ポリシーを使用して異なるアカウントのユーザーとロールが実行できる操作を制限したりすることはできません。
組織の設定を一括請求機能 (コンソリデーティッドビリング) のみのサポートからすべての機能のサポートに変更することができます。すべての機能を有効にするには、招待済みのすべてのメンバーアカウントを使用して、管理アカウントでプロセスを開始する際に送信される招待を承認し、変更を承認する必要があります。詳細については、「[を使用して組織のすべての機能を有効にする AWS Organizations](orgs_manage_org_support-all-features.md)」を参照してください。
## 組織構造
**組織**
*組織*とは、一元的に管理し、上部に[ルート](#root)があり、ルートの下にネストされた[組織単位](#organizationalunit)を持つ階層的な木のような構造に整理できる [AWS アカウント](#account)のコレクションです。各アカウントは、ルートに直接含めるか、階層内の OU のいずれかに配置することができます。
各組織は以下で構成されます。
+ [管理アカウント](#management-account)
+ ゼロ以上の[メンバーアカウント](#member-account)
+ ゼロ以上の[組織単位 (OU)](#organizationalunit)
+ ゼロ以上の[ポリシー](#organization-policies)。
組織には、有効にする[機能セット](#feature-set)によって決定された機能を含みます。
**ルート**
*管理ルート (ルート)* は[管理アカウント](#management-account)に含まれ、[AWS アカウント](#management-account)を整理するための出発点です。ルートは、組織の階層で最上位のコンテナです。このルートでは、[組織単位 (OU)](#organizationalunit) を作成してアカウントを論理的にグループ化し、ニーズに最適な階層 OU に整理できます。
[管理ポリシー](#management-policies)をルートに適用する場合は、組織の管理アカウントを含む、すべての[組織単位 (OU)](#organizationalunit) と[アカウント](#account)に適用されます。
承認ポリシー (サービスコントロールポリシー (SCP) など) をルートに適用すると、組織内のすべての組織単位 (OU) と[メンバーアカウント](#member-account)に適用されます。組織の管理アカウントには適用されません。
組織の作成時に AWS Organizations ルートを自動的に作成できるのは 1 つの root のみです。
**組織単位 (OU)**
*組織単位 (OU)* は、組織内の [AWS アカウント](#account)のグループです。OU には、階層を作成できる他の OU を含めることもできます。例えば、同じ部門に属するすべてのアカウントを部門 OU にグループ化できます。同様に、セキュリティサービスを実行しているすべてのアカウントをセキュリティ OU にグループ化できます。
OU は、組織内のアカウントのサブセットに同じコントロールを適用する必要がある場合に役立ちます。OU ネストすると、管理単位が小さくなります。例えば、ワークロードごとに OU を作成し、ワークロード OU ごとにネストされた OU を 2 つ作成して、本番ワークロードを本番稼働前から分割できます。これらの OU は、チームレベルの OU に直接割り当てられたコントロールに加えて、親 OU からポリシーを継承します。最も低い OUs に AWS アカウント 作成された[ルート](#root)と を含めると、階層の深さは 5 レベルになります。
**AWS アカウント**
*AWS アカウント* は、 AWS リソースのコンテナです。で AWS リソースを作成および管理し AWS アカウント、 AWS アカウント はアクセスと請求のための管理機能を提供します。
複数の を使用すること AWS アカウント は、コストの請求境界を提供し、セキュリティのためにリソースを分離し、新しいプロセスに適応できるだけでなく、柔軟性や個人やチームも提供するため、環境をスケーリングするためのベストプラクティスです。
AWS アカウントはユーザーとは異なります。[ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html#intro-identity-users)は、 AWS Identity and Access Management (IAM) を使用して作成する ID で、[長期の認証情報を持つ IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)か、[短期の認証情報を持つ IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)のどちらかの形態をとります。1 つの AWS アカウントには、多数のユーザーとロールを含めることができ、通常は含めることができます。
組織は 2 種類のアカウントで構成されます。一つは[管理アカウント](#management-account)として指定された単一のアカウント、もう一つは 1 つ以上の[メンバーアカウント](#member-account)です。
**管理アカウント**
*管理アカウント*は、組織の作成 AWS アカウント に使用する です。管理アカウントから、以下のことができます。
+ 組織内の他のアカウントを作成する
+ 他のアカウントを組織に参加するよう[招待し、招待を管理する](#invitations-handshakes)
+ [委任管理者アカウント](#delegated-admin)を指定する
+ 組織からアカウントを削除する
+ [ルート](#root)、[組織単位 (OU)](#organizationalunit)、組織内のアカウントなどのエンティティにポリシーをアタッチする
+ サポートされている AWS サービスとの統合を有効にして、組織内のすべてのアカウントでサービス機能を提供します。
管理アカウントは組織の最終的な所有者であり、セキュリティ、インフラストラクチャ、財務ポリシーを最終的に制御します。このアカウントには支払者アカウントの役割があり、組織内のアカウントによって発生したすべての料金を支払う責任があります。
**注意事項**
+ 組織内のアカウントを管理アカウントに変更することはできません。
+ 管理アカウントはルートの直下である必要はなく、組織内のどこにでも配置できます。
**メンバーアカウント**
*メンバーアカウント*は AWS アカウント、組織の一部である管理アカウント以外の です。組織の[管理者](#delegated-admin)であれば、組織内にメンバーアカウントを作成したり、既存のアカウントを組織に招待して参加させることができます。メンバーアカウントにポリシーを適用することもできます。
メンバーアカウントは、一度に 1 つの組織のみに所属できます。メンバーアカウントを委任管理者アカウントとして指定できます。
**委任管理者**
管理アカウントとそのユーザーおよびロールは、そのアカウントで実行する必要のあるタスクのみに使用することをおすすめします。 AWS リソースを組織内の他のメンバーアカウントに保存し、管理アカウントからは切り離すことをおすすめします。これは、Organizations のサービスコントロールポリシー (SCP) などのセキュリティ機能は、管理アカウントのどのユーザーやどのロールにも制限を加えることができないためです。また、リソースを管理アカウントから分離することで、請求書に記載される請求額が理解しやすくなります。組織の管理アカウントから、1 つ以上のメンバーアカウントを委任管理者アカウントとして指定すると、この推奨事項を実施するうえで役立ちます。委任管理者には次の 2 種類があります。
+ Organizations の委任管理者:これらのアカウントからは、組織のポリシーを管理したり、組織内のエンティティ(ルート、OU、またはアカウント)にポリシーをアタッチしたりできます。管理アカウントは、委任権限をきめ細かく制御できます。詳細については、「[の委任管理者 AWS Organizations](orgs_delegate_policies.md)」を参照してください。
+ AWS サービスの委任管理者: これらのアカウントから、Organizations と統合する AWS サービスを管理できます。管理アカウントは、必要に応じて異なるメンバーアカウントをさまざまなサービスの委任管理者として登録できます。これらのアカウントには、特定のサービスの管理者権限と、Organizations の読み取り専用アクションの権限があります。詳細については、[Organizations と連携 AWS のサービス する の委任された管理者](orgs_integrate_delegated_admin.md)を参照してください。
## 招待とハンドシェイク
**招待**
*招待*は、組織の管理アカウントが別の[アカウント](#account)に対して行うリクエストです。例えば、スタンドアロンアカウントに[組織](#org)に参加するようたずねるプロセスが招待です。
招待は[ハンドシェイク](#handshake)として実装されます。 AWS Organizations コンソールで作業している場合、ハンドシェイクが表示されないことがあります。ただし、 AWS CLI または AWS Organizations API を使用する場合は、ハンドシェイクを直接操作する必要があります。
**ハンドシェイク**
*ハンドシェイク*は、送信者と受信者の 2 つの AWS アカウント間の安全な情報交換です。
次のハンドシェイクがサポートされています。
+ **INVITE**: 送信者の組織に参加するようスタンドアロンアカウントに送信されたハンドシェイク。
+ **ENABLE\$1ALL\$1FEATURES**: 組織のすべての機能を有効にするため、招待されたメンバーアカウントに送信されたハンドシェイク。
+ **APPROVE\$1ALL\$1FEATURES**: 招待されたすべてのメンバーアカウントがすべての機能を有効にすることを承認したときに、管理アカウントに送信されるハンドシェイク。
通常、ハンドシェイクと直接やり取りする必要があるのは、 AWS Organizations API や などのコマンドラインツールを使用する場合のみです AWS CLI。
## 組織ポリシー
*ポリシー*は、グループに適用するコントロールを定義する 1 つ以上のステートメントを含む「ドキュメント」です AWS アカウント。 は、認可ポリシーと管理ポリシー AWS Organizations をサポートしています。
### 承認ポリシー
認可ポリシーは、組織全体の のセキュリティ AWS アカウント を一元管理するのに役立ちます。
**サービスコントロールポリシー (SCP)**
*サービスコントロールポリシー*は、組織の IAM ユーザーと IAM ロールが利用できる最大数のアクセス許可を一元的管理できるポリシーの一種です。
つまり、SCP はプリンシパル中心のコントロールを指定します。SCP は、アクセス許可ガードレールを作成するか、メンバーアカウントのプリンシパルが利用できるアクセス許可の上限を設定します。SCP は、組織内のプリンシパルに一貫したアクセスコントロールを一元的に適用する場合に使用します。
これには、IAM ユーザーと IAM ロールがアクセスできるサービス、アクセスできるリソース、またはリクエストを実行できる条件 (特定のリージョンやネットワークからなど) の指定が含まれます。詳細については、「[SCP](orgs_manage_policies_scps.md)」を参照してください。
**リソースコントロールポリシー (RCP)**
*サービスコントロールポリシー*は、組織のリソースが利用できる最大数のアクセス許可を一元的管理できるポリシーの一種です。
つまり、RCP はリソース中心のコントロールを指定します。RCP は、メンバーアカウントのリソースで使用できる最大アクセス許可に対するアクセス許可ガードレールを作成するか、もしくは制限を設定します。組織内のリソース間で一貫したアクセスコントロールを一元的に適用する場合は、RCP を使用します。
これには、組織に属する ID のみがアクセスできるようにリソースへのアクセスを制限したり、組織外部の ID がリソースにアクセスできる条件を指定したりすることが含まれます。詳細については、「[RCP](orgs_manage_policies_rcps.md)」を参照してください。
### 管理ポリシー
管理ポリシーは、組織全体で AWS のサービス とその機能を一元的に設定および管理するのに役立ちます。
+ **[宣言型ポリシー](orgs_manage_policies_declarative.md)**を使用すると、組織全体 AWS のサービス で特定の に必要な設定を一元的に宣言して適用できます。一度接続すると、サービスに新しい機能や API が追加されても、設定は常に維持されます。
+ **[バックアップポリシー](orgs_manage_policies_backup.md)**を使用すると、バックアッププランを一元管理し、組織のアカウント全体の AWS リソースに適用できます。
+ **[タグポリシー](orgs_manage_policies_tag-policies.md)**を使用すると、組織のアカウントの AWS リソースにアタッチされたタグを標準化できます。
+ **[チャットアプリケーションポリシー](orgs_manage_policies_chatbot.md)**を使用することで、Slack や Microsoft Teams などのチャットアプリケーションから組織のアカウントへのアクセスを制御できます。
+ **[AI サービスのオプトアウトポリシー](orgs_manage_policies_ai-opt-out.md)**を使用すると、組織内のすべてのアカウントの AWS AI サービスのデータ収集を制御できます。
+ **[Security Hub ポリシー](orgs_manage_policies_security_hub.md)**を使用することで、組織のセキュリティ要件に沿ってセキュリティカバレッジのギャップに対処し、組織全体に一元的にポリシーを適用できます。
+ **[Amazon Inspector ポリシー](orgs_manage_policies_inspector.md)**を使用すると、 AWS 組織内のアカウント間で Amazon Inspector を一元的に有効化および管理できます。
+ **[Amazon Bedrock ポリシー](orgs_manage_policies_bedrock.md)**を使用すると、Amazon Bedrock へのすべてのモデル推論呼び出しについて、組織構造の任意の要素にわたって Amazon Bedrock ガードレールで設定された保護を自動的に適用できます。
+ **[アップグレードロールアウトポリシー](orgs_manage_policies_upgrade_rollout.md)**を使用すると、組織内の複数の AWS リソースとアカウント間で自動アップグレードを一元管理し、ずらすことができます。
+ **[Amazon S3 ポリシー](orgs_manage_policies_s3.md)**を使用すると、組織内のアカウント全体で Amazon S3 リソースの設定を大規模に一元管理できます。
+ **[AWS Shield Network Security Director ポリシー](orgs_manage_policies_network_security_director.md)**を使用すると、組織内のアカウント全体で AWS Shield Network Security Director を一元的に有効化および管理できます。
# のクォータとサービス制限 AWS Organizations
このトピックでは、 のクォータとサービス制限について説明します AWS Organizations。
## 命名ガイドライン
以下は、アカウント名 AWS Organizations、組織単位 (OUs)、ルート、ポリシーなど、 で作成する名前のガイドラインです。
+ 名前は Unicode 文字で構成すること
+ 名前の最大文字列長は、オブジェクトによって異なります。各オブジェクトの実際の制限の詳細については、「[AWS Organizations API リファレンス](https://docs.aws.amazon.com/organizations/latest/APIReference/)」を参照し、オブジェクトを作成する API オペレーションを検索して、そのオペレーションの `Name` パラメータの詳細をご確認ください。例: [アカウント名](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateAccount.html#organizations-CreateAccount-request-AccountName)または [OU 名](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreateOrganizationalUnit.html#organizations-CreateOrganizationalUnit-request-Name)。
## 考慮事項
サービスクォータコードは、更新により時間の経過とともに変更される可能性があります。これはクォータの値や名前には影響しません。特定のクォータのクォータコードを検索するには、[ListServiceQuotas](https://docs.aws.amazon.com/servicequotas/2019-06-24/apireference/API_ListServiceQuotas.html) オペレーションを使用して、そのクォータに対する出力内の `QuotaCode` レスポンスを探します。
## 最大値および最小値
のエンティティの***デフォルトの***最大値を次に示します AWS Organizations。
**注記**
AWS Organizations クォータに関する次の情報を考慮してください。
[Service Quotas コンソール](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/organizations/quotas)を使用して、これらの値の一部を引き上げるよう要求できます。
AWS Organizations 特に指定がない限り、 の制限は組織レベルで適用されます。多くのクォータは、 AWS Organizations 管理アカウントから実行されるアクションにのみ適用されます。
AWS Organizations は、米国東部 (バージニア北部) リージョン () で物理的にホストされるグローバルサービスです`us-east-1`。したがって、Service Quotas コンソール、、 AWS CLIまたは AWS SDK を使用する場合は、 `us-east-1`を使用してこれらのクォータにアクセスする必要があります。
****
| 説明 | 制限 |
| --- | --- |
| アカウントの最大数 | 10 — 組織で許可されるアカウントの最大数。このクォータは調整可能なので、[Service Quotas コンソール](https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/services/organizations/quotas)を使用してクォータの引き上げをリクエストできます。 **注:** このクォータ引き上げリクエストを送信できるのは、組織の管理アカウントのみです。制限の引き上げは、顧客の資格と要件に基づいて最大 50,000 アカウントまで付与できます。新しく作成されたアカウントや Organizations では、デフォルトの 10 アカウントを下回るクォータが発生する可能性があります。 アカウントに送信された招待はこのクォータに対してカウントされます。招待されたアカウントが拒否された場合、管理アウントが招待をキャンセルした場合、または招待状の有効期限が切れた場合は、カウントが返されます。 アカウントが閉鎖されても、アカウントが完全に閉鎖されるまで、このクォータに対するカウントは停止されません。アカウントが完全に閉鎖された場合の詳細については、「*AWS アカウント管理 リファレンスガイド*」の「[閉鎖後期間](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period)」を参照してください。 一部のサービスには、組織で許可されるアカウントの最大数とは別にアカウント制限があります。詳細については、[AWS 「サービス別の制限](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html#min-max-service-limits)」を参照してください。 |
| 作成したアカウントの削除の最小期間 | サポートされている各リージョン: 7。これは、いったん作成したアカウントを組織から削除できるようになるまで、アカウントが存在する必要がある最小日数です。 |
| 組織の root の数 | 1 |
| 組織の OU の数 | 2000 |
| 組織の各タイプのポリシーの数 | サービスコントロールポリシー: 10,000 リソースコントロールポリシー: 1000 宣言型ポリシー: 1000 バックアップポリシー: 1,000 タグポリシー: 1000 チャットアプリケーションポリシー: 1000 AI サービスのオプトアウトポリシー: 1,000 Security Hub ポリシー: 1000 |
| ポリシードキュメントの最大サイズ | サービスコントロールポリシー: 5120 文字 リソースコントロールポリシー: 5120 文字 宣言型ポリシー: 10,000 文字 バックアップポリシー: 10,000 文字 チャットアプリケーションポリシー: 10,000 文字 AI サービスのオプトアウトポリシー: 2500 文字 タグポリシー: 10,000 文字 Security Hub ポリシー: 10,000 文字 **注:** を使用してポリシーを保存する場合 AWS マネジメントコンソール、JSON 要素と引用符の外側の間の余分な空白 (スペースや改行など) は削除され、カウントされません。SDK オペレーションまたは を使用してポリシーを保存すると AWS CLI、指定したとおりにポリシーが保存され、文字の自動削除は行われません。 |
| ルート内の OU 最大ネスト数 | ルート以下に 5 レベルの OU 深。 |
| 24 時間以内に試行できる招待の最大回数 | 20 または組織で許可される最大アカウント数のいずれか大きい方です。承諾済みの招待は、このクォータに対してカウントされません。1 つの招待が承諾されるとすぐ、同じ日に別の招待を送信できます。 組織で許可される最大アカウント数が 20 未満の場合、組織に含めることができるアカウント数を超えてアカウントを招待しようとすると、「アカウント制限を超えました」という例外が発生します。ただし、招待をキャンセルして、1 日に最大 20 回まで新しい招待を送信することができます。 |
| 同時に作成できるメンバーアカウントの数 | 5 - 1 つが終了するとすぐに他を開始できますが、一度に進行できるのは 5 つのみです。 |
| 30 日間で閉鎖できるアカウントの数。 | 組織内のメンバーアカウントの 20% または 250 のいずれか高い方、最大 1,000 個。これは調整可能なクォータではありません。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_reference_limits.html) この上限に達すると、追加のアカウントを閉鎖できます。また、上限数がリセットされるまで待ちます。詳細については、「 [AWS アカウント管理ガイド](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html)」の「アカウントを閉じる」を参照してください。 *AWS * |
| 同時に閉鎖できるメンバーアカウントの数 | 3 – 同時に実行できるアカウント閉鎖は 3 つだけです。1 つが終了するとすぐに、別のアカウントを閉鎖できます。 |
| ポリシーをアタッチできるエンティティの数 | 無制限 |
| ルート、OU、またはアカウントにアタッチできるタグの数 | 50 |
| リソースベースの委任ポリシーの最大サイズ | 40,000 文字 |
### AWS サービス別の制限
ほとんどの は、組織内で保持できるアカウントの最大数 AWS のサービス をサポートしています。ただし、一部のサービスには、組織で許可されるアカウントの最大数とは別にアカウント制限があります。
次の表は、個別のアカウント制限があるサービスを示します。
****
| AWS サービス | 制限 | 引き上げ可能 | サービスのドキュメント |
| --- | --- | --- | --- |
| AWS Directory Service (ディレクトリ共有は で利用できます AWS Managed Microsoft AD) | ディレクトリ共有アカウントの容量はエディションによって異なります。 | はい | [Directory Service クォータ](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_limits.html) |
| AWS Audit Manager | 250 | はい | [AWS Audit Manager クォータ](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html) |
| Amazon Detective | 1200 | はい | [Amazon Detective Quotas](https://docs.aws.amazon.com/detective/latest/userguide/regions-limitations.html) |
| AWS IAM アイデンティティセンター | 3000 | はい | [AWS IAM アイデンティティセンター クォータ](https://docs.aws.amazon.com/singlesignon/latest/userguide/limits.html) |
| AWS Application Migration Service | 5000 | いいえ | [AWS クォータ](https://docs.aws.amazon.com/mgn/latest/ug/MGN-service-limits.html) |
| AWS Security Hub | 10000 | いいえ | [AWS Security Hub クォータ](https://docs.aws.amazon.com/general/latest/gr/sechub.html) |
| Amazon Macie | 10000 | いいえ | [Amazon Macie Quotas](https://docs.aws.amazon.com/macie/latest/user/macie-quotas.html) |
| AWS Control Tower | 10000 | いいえ | [AWS Control Tower クォータ](https://docs.aws.amazon.com/controltower/latest/userguide/limits.html) |
| Amazon Inspector | 10000 | いいえ | [Amazon Inspector Quotas](https://docs.aws.amazon.com/inspector/latest/user/quotas.html) |
| AWS Firewall Manager | 10000 | はい | [AWS Firewall Manager クォータ](https://docs.aws.amazon.com/waf/latest/developerguide/fms-limits.html) |
| Amazon DevOps Guru | 10000 | はい | [Amazon DevOps Guru Quotas](https://docs.aws.amazon.com/devops-guru/latest/userguide/quotas.html) |
## ハンドシェイクの有効期限
以下は、ハンドシェイクのタイムアウトです AWS Organizations。
****
| 説明 | 制限 |
| --- | --- |
| 組織に参加するための招待 | 15 日間 |
| 組織内のすべての機能を有効にするリクエスト | 90 日間 |
| ハンドシェイクが削除され、リストに表示されなくなる | ハンドシェイクの完了から 30 日後 |
## 1 つのエンティティにアタッチできるポリシーの数
最小値および最大値は、ポリシータイプとポリシーをアタッチするエンティティよって異なります。次の表では、各ポリシータイプおよび各タイプにアタッチできるエンティティの数を示します。
**注記**
これらの数は、OU またはアカウントに直接アタッチされたポリシーにのみ適用されます。継承によって OU またはアカウントに影響を与えるポリシーは、これらの制限にはカウント***されません***。すべてのポリシー制限はハード制限です。
****
| ポリシータイプ | エンティティにアタッチされる最小数 | ルートにアタッチされる最大値 | OU あたりの最大アタッチ数 | アカウントあたりの最大アタッチ数 |
| --- | --- | --- | --- | --- |
| サービスコントロールポリシー | 1 — SCP を有効にする場合、各エンティティに常に少なくとも 1 つの SCP がアタッチされている必要があります。エンティティから最後の SCP を削除することはできません。 | 5 | 5 | 5 |
| リソースコントロールポリシー | 1 — RCP を有効にすると、RCPFullAWSAccess ポリシーはルート、すべての OU、および組織内のすべてのアカウントに自動的にアタッチされます。このポリシーはデタッチできず、ポリシークォータを消費します (ポリシークォータ最大数 5)。 | 5 | 5 | 5 |
| 宣言型ポリシー | 0 | 10 | 10 | 10 |
| バックアップポリシー | 0 | 10 | 10 | 10 |
| タグポリシー | 0 | 10 | 10 | 10 |
| チャットアプリケーションポリシー | 0 | 5 | 5 | 5 |
| AI サービスのオプトアウトポリシー | 0 | 5 | 5 | 5 |
| Security Hub ポリシー | 0 | 10 | 10 | 10 |
**注記**
ルートは組織に 1 つのみ持つことができます。
## スロットリングの制限
次の表に、管理カテゴリ別の AWS Organizations APIs と、アカウントおよび組織レベルでのそれぞれのスロットルレートを示します。
AWS Organizations は[トークンバケットアルゴリズム](https://en.wikipedia.org/wiki/Token_bucket)を使用して API スロットリングを実装します。このアルゴリズムでは、アカウントには、特定の数の*トークン*を保持する*バケット*があります。バケット内のトークンの数は、特定の秒におけるスロットリングクォータを表します。
*レート*は、1 秒あたりでトークンバケットにトークンを追加できる固定レートです。
*バースト*は、追加できるトークンの最大数と、1 秒あたりに使用できるトークンの最大数です。
例えば、`DescribeAccount` API はベースラインレートとして 1 秒あたりの AWS アカウント リクエスト数 1~20 に、バーストレートとして 1 秒あたりのリスエスト数 30 に制限されます。バーストレートを 1 秒あたり 30 リクエストとすることで、一時的に 1 秒あたり 20 リクエストのベースラインレートを超過することができます。
最初の 1 秒で 20 件のリクエストを行うことができます。これはベースラインレートです。2 秒目でベースラインを超える 30 件のリクエストを実行できますが、バーストレート制限の 30 リクエストを超えることはできません。続いて 3 秒目に 20 件を超えるリクエストを実行しようとすると、すでにベースラインレートを超えておりかつバースト容量を使用済みなので、スロットリングされます。
バーストレートを使用することで、1 秒あたりの平均リクエスト数が長期的にベースライン制限内であれば、スロットリングなしでトラフィックの一時的な急増に対処できます。
### アカウント管理の制限
次の表に、 AWS Organizations APIs を示します。
****
| AWS Organizations API | アカウントあたりの制限 (レート、バースト) | 組織あたりの制限 (レート、バースト) |
| --- | --- | --- |
| CloseAccount | .05、1 | |
| CreateAccount 、CreateGovCloudAccount | 0.1、3 | |
| DescribeAccount | 20、30 | 24、36 |
| DescribeCreateAccountStatus | 2、2 | 2、3 |
| LeaveOrganization | 1、1 | |
| ListCreateAccountStatus | 5、8 | 6、10 |
### ハンドシェイク管理の制限
次の表に、アカウントハンドシェイク AWS Organizations APIs を示します。
****
| AWS Organizations API | アカウントあたりの制限 (レート、バースト) | 組織あたりの制限 (レート、バースト) |
| --- | --- | --- |
| AcceptHandshake | 1、2 | 5、5 |
| DescribeHandshake | 1、2 | 6、10 |
| CancelHandshake | 2、3 | |
| DeclineHandshake | 1、1 | 5、5 |
| InviteAccountToOrganization | 3、5 | |
| ListHandshakesForAccount、ListHandshakesForOrganization | 5、8 | 6、10 |
### 組織管理の制限
次の表に、 AWS Organizations APIs を示します。
****
| AWS Organizations API | アカウントあたりの制限 (レート、バースト) | 組織あたりの制限 (レート、バースト) |
| --- | --- | --- |
| CreateOrganization、DeleteOrganization、EnableFullControl | 1、1 | |
| CreateOrganizationalUnit、DescribeOrganization | 1、2 | |
| MoveAccount、UpdateOrganizationalUnit、DeleteOrganizationalUnit | 2、3 | |
| DescribeOrganizationalUnit | 2、2 | 2、3 |
| ListAccounts | 8、12 | 9、15 |
| ListChildren | 6、10 | 7、12 |
| ListParents、ListAccountsForParent、ListOrganizationalUnitsForParent | 5、8 | 6、10 |
| ListRoots | 1、2 | 1、3 |
| ListTagsForResource | 10、15 | 12、18 |
| RemoveAccountFromOrganization | 2、2 | |
| TagResource、UntagResource | 4、6 | |
### ポリシー管理の制限
次の表に、ポリシー管理用の AWS Organizations APIs を示します。
****
| AWS Organizations API | アカウントあたりの制限 (レート、バースト) | 組織あたりの制限 (レート、バースト) |
| --- | --- | --- |
| CreatePolicy、DeletePolicy、AttachPolicy、DetachPolicy | 2、3 | |
| DescribePolicy | 2、2 | 2、3 |
| DisablePolicyType、EnablePolicyType | 1、1 | |
| ListPolicies、ListPoliciesForTarget、ListTargetsForPolicy | 5、8 | 6、10 |
| UpdatePolicy | 2、3 | |
### サービス管理の制限
次の表に、 AWS Organizations APIs を示します。
****
| AWS Organizations API | アカウントあたりの制限 (レート、バースト) | 組織あたりの制限 (レート、バースト) |
| --- | --- | --- |
| EnableAWSServiceAccess、DisableAWSServiceAccess | 1、2 | |
| ListAWSServiceAccessForOrganization、ListDelegatedServicesForAccount | 1、3 | 1、4 |
| ListDelegatedAdministrators | 5、8 | 6、10 |
| RegisterDelegatedAdministrator、DeregisterDelegatedAdministrator | 1、2 | |
# のリージョンサポート AWS Organizations
AWS Organizations は、すべての AWS 商用リージョン AWS GovCloud (US) Regions、および中国リージョンで利用できます。
の機能の違いのリストについては AWS GovCloud (US) Regions、「」の[AWS OrganizationsAWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-organizations.html)「」を参照してください。
中国リージョンの機能の違いのリストについては、「[中国のAWS Organizations](https://docs.amazonaws.cn/en_us/aws/latest/userguide/organizations.html)」を参照してください。
**Organizations のサービスエンドポイントは次の場所にあります**。
+ 米国東部 (バージニア北部) 商業組織向け
+ AWS GovCloud (US) 組織の In AWS GovCloud (米国西部)
+ 中国 (寧夏) 中国組織向け。Ningxia Western Cloud Data Technology Co. Ltd (NWCD) が運営。
( AWS Identity and Access Management IAM) の現在の仕組みと同様に、中国で管理されている組織を除き、すべての組織エンティティにグローバルにアクセスできます。組織を作成および管理 AWS リージョン するときに を指定する必要はありませんが、中国で使用するアカウント用に別の組織を作成する必要があります。のユーザーは AWS アカウント 、そのサービスが利用可能な任意の地理的リージョン AWS のサービス で を使用できます。
**注記**
**タグポリシーは、リージョンのサブセットでのみサポートされています**
タグポリシーはポリシーの一種で、組織のアカウント内のリソース間でタグを標準化するのに役立ちます。タグポリシーは、Organizations がサポートされているリージョンのサブセットでのみサポートされます。タグポリシーがサポートされているリージョンのリストについては、「[Tag policies \$1 Support Regions](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-supported-regions.html)」を参照してください。
## 使用可能な のリスト AWS リージョン
次の表では使用できるすべての AWS リージョンを示します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/region-support.html)
# の請求と料金 AWS Organizations
AWS Organizations は追加料金なしで提供されます。メンバーアカウントのユーザーとロールが使用する AWS リソースに対してのみ課金されます。例えば、メンバーアカウントのユーザーまたはロールが使用する Amazon EC2 インスタンスの標準料金が請求されます。他の AWS サービスの料金については、[AWS 「 ](https://aws.amazon.com/pricing/services/)料金表」を参照してください。
## 組織内の AWS メンバーアカウントのユーザーが負担した使用量に対して誰が支払いますか?
[管理アカウントの](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#management-account)所有者は、組織内のアカウントが使用するすべての使用状況、データ、リソースに対して支払いを行います。
## 請求書には、組織内で作成した組織単位構造が反映されますか?
請求書には、組織で定義した構造が反映されません。[コスト配分タグ](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)を個別に使用 AWS アカウント して AWS コストを分類および追跡できます。この配分は、組織の一括請求に表示されます。
# のサポートとフィードバック AWS Organizations
ご意見をお待ちしております。また、[AWS Organizations サポートフォーラム](https://forums.aws.amazon.com/forum.jspa?forumID=219)にフィードバックや質問を入力することができます。 AWS サポートフォーラムの詳細については、[「 フォーラムのヘルプ](https://forums.aws.amazon.com/help.jspa)」を参照してください。
## その他の AWS リソース
+ **[AWS トレーニングとコース](https://aws.amazon.com/training/course-descriptions/)** – AWS スキルを磨き、実践的な経験を積むのに役立つ、ロールベースのコースや専門コース、セルフペースラボへのリンク。
+ **[AWS デベロッパーツール](https://aws.amazon.com/developertools/)** – 革新的なアプリケーションの構築に役立つドキュメント、コード例、リリースノート、その他の情報を提供するデベロッパーツールとリソースへのリンク AWS。
+ **[AWS サポート センター](https://console.aws.amazon.com/support/home#/)** – AWS サポートケースを作成および管理するためのハブ。フォーラム、技術上のよくある質問、サービスヘルスステータス、 AWS Trusted Advisor などの便利なリソースへのリンクも含まれています。
+ **[AWS サポート](https://aws.amazon.com/premiumsupport/)** – AWS クラウドでのアプリケーションの構築と実行に役立つ one-on-one の高速応答サポートチャネルである サポートに関する情報のプライマリウェブページ。
+ **[お問い合わせ](https://aws.amazon.com/contact-us/)** — AWS 請求、アカウント、イベント、不正使用、その他の問題に関するお問い合わせの一元的な連絡先です。
+ **[AWS サイト規約](https://aws.amazon.com/terms/)** – 当社の著作権と商標、お客様のアカウント、ライセンス、サイトアクセス、およびその他のトピックに関する詳細情報。