翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用した組織の管理 AWS Organizations
*組織は*、一元的に管理し、上部にルートがあり、ルートの下にネストされた組織単位を持つ階層的な木のような構造に整理 AWS アカウント できる のコレクションです。各アカウントは、ルートに直接含めるか、階層内の OU のいずれかに配置することができます。
各組織は以下で構成されます。
+ 管理アカウント
+ ゼロ以上のメンバーアカウント
+ ゼロ以上の組織単位 (OU)
+ ゼロ以上のポリシー。
組織には、有効にする[機能セット](orgs_getting-started_concepts.md#feature-set)によって決定された機能を含みます。
**Topics**
+ [組織の作成](orgs_manage_org_create.md)
+ [E メールアドレスの検証](about-email-verification.md)
+ [検証 E メールの再送信](about-email-verification-resend.md)
+ [E メールアドレスの変更](about-email-verification-change-email.md)
+ [すべての機能の有効化](orgs_manage_org_support-all-features.md)
+ [組織の詳細の表示](orgs_view_org.md)
+ [組織の削除](orgs_manage_org_delete.md)
# を使用した組織の作成 AWS Organizations
を管理アカウント AWS アカウント として組織を作成できます。組織を作成する際、この組織が[すべての機能 (推奨)](orgs_getting-started_concepts.md#feature-set-all) をサポートする、または[一括請求](orgs_getting-started_concepts.md#feature-set-cb-only)のみをサポートするかを選択できます。デフォルトでは、作成した組織はすべての機能をサポートします。
## 組織を作成する
組織を作成するには、 を使用するか、 AWS マネジメントコンソール AWS CLI または SDK APIs のいずれかのコマンドを使用します。
**最小アクセス許可**
現在の で組織を作成するには AWS アカウント、次のアクセス許可が必要です。
`organizations:CreateOrganization`
`iam:CreateServiceLinkedRole`
このアクセス許可は、サービスプリンシパルだけに制限できます`organizations.amazonaws.com`。
### AWS マネジメントコンソール
**組織を作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. デフォルトでは、組織はすべての機能を有効にして作成されます。ただし、次のいずれかのステップを選択できます。
+ すべての機能が有効な組織を作成するには、概要ページで [**Create an organization**] (組織を作成する) を選択します。
+ 一括請求 (コンソリデーティッドビリング) 機能のみを持つ組織を作成するには、概要ページの [**Create an organization**] (組織を作成する) で**一括請求 (コンソリデーティッドビリング) 機能**を選択してから、[**Create an organization**] (組織を作成する) を選択します。
オプションの選択を間違えた場合は、すぐに**[設定](https://console.aws.amazon.com/organizations/v2/home/settings)**ページに移動して [**Delete organization**] (組織の削除) を選択し、もう一度やり直してください。
1. 組織が作成され、**[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページが表示されます。存在するアカウントは管理アカウントのみで、この時点では[ルート組織単位 (OU)](orgs_getting-started_concepts.md#root) に保存されています。
必要に応じて、Organizations により、管理アカウントに関連付けられたアドレスに検証メールが自動的に送信されます。検証 E メールの受信には時間がかかる場合があります。24 時間以内に E メールアドレスを検証します。詳細については、「[による E メールアドレスの検証 AWS Organizations](about-email-verification.md)」を参照してください。管理アカウントのメールアドレスを検証しなくても、組織内に新しいアカウントを作成することは可能です。ただし、既存のアカウントを招待するには、その前にメールの検証が完了している必要があります。
**注記**
以前にそのアカウントのメールアドレスの検証が行われていた場合は、そのアカウントを使用して組織を作成した際にメールの検証が再度求められることはありません。
### AWS CLI & AWS SDKs
次のサンプルコードは、`CreateOrganization` を使用する方法を説明しています。
------
#### [ .NET ]
**SDK for .NET**
GitHub には、その他のリソースもあります。用例一覧を検索し、[AWS コード例リポジトリ](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)での設定と実行の方法を確認してください。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates an organization in AWS Organizations.
///
public class CreateOrganization
{
///
/// Creates an Organizations client object and then uses it to create
/// a new organization with the default user as the administrator, and
/// then displays information about the new organization.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var response = await client.CreateOrganizationAsync(new CreateOrganizationRequest
{
FeatureSet = "ALL",
});
Organization newOrg = response.Organization;
Console.WriteLine($"Organization: {newOrg.Id} Main Accoount: {newOrg.MasterAccountId}");
}
}
```
+ API の詳細については、「*AWS SDK for .NET API リファレンス*」の「[CreateOrganization](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateOrganization)」を参照してください。
------
#### [ CLI ]
**AWS CLI**
**例 1: 新しい組織を作成するには**
Bill は、アカウント 111111111111 の認証情報を使用して組織を作成したいと考えています。次の例は、このアカウントが新しい組織のマスターアカウントになることを示しています。Bill は機能セットを指定していないため、新しい組織ではデフォルトですべての機能が有効になり、サービスコントロールポリシーがルート上で有効になります。
```
aws organizations create-organization
```
出力には、新しい組織に関する詳細を含む組織オブジェクトが含まれます。
```
{
"Organization": {
"AvailablePolicyTypes": [
{
"Status": "ENABLED",
"Type": "SERVICE_CONTROL_POLICY"
}
],
"MasterAccountId": "111111111111",
"MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111",
"MasterAccountEmail": "bill@example.com",
"FeatureSet": "ALL",
"Id": "o-exampleorgid",
"Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid"
}
}
```
**例 2: 一括決済機能のみを有効にした新しい組織を作成するには**
次の例では、一括決済機能のみをサポートする組織を作成します。
```
aws organizations create-organization --feature-set CONSOLIDATED_BILLING
```
出力には、新しい組織に関する詳細を含む組織オブジェクトが含まれます。
```
{
"Organization": {
"Arn": "arn:aws:organizations::111111111111:organization/o-exampleorgid",
"AvailablePolicyTypes": [],
"Id": "o-exampleorgid",
"MasterAccountArn": "arn:aws:organizations::111111111111:account/o-exampleorgid/111111111111",
"MasterAccountEmail": "bill@example.com",
"MasterAccountId": "111111111111",
"FeatureSet": "CONSOLIDATED_BILLING"
}
}
```
詳細については、「AWS Organizations ユーザーガイド」の「Creating an Organization」を参照してください。**
+ API の詳細については、AWS CLI コマンドリファレンスの「[CreateOrganization](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-organization.html)」を参照してください。**
------
組織を作成した後、管理アカウントから以下の方法で組織にアカウントを追加できます。
+ 自動的に組織のメンバーアカウントとして追加される [AWS アカウントを別途作成する](orgs_manage_accounts_create.md)
+ [E メールアドレスを検証](about-email-verification.md)後、組織のメンバーアカウントとして参加するよう[既存の AWS アカウントを招待する](orgs_manage_accounts_invite-account.md)。
# による E メールアドレスの検証 AWS Organizations
組織を作成したら、アカウントを招待する前に、組織の管理アカウントから提供されたメールアドレスを所有していることを検証する必要があります。
組織を作成するときに、管理アカウントが以前に検証されていない場合、 は指定された E メールアドレスに検証 E メール AWS を自動的に送信します。検証 E メールの受信には時間がかかる場合があります。
## E メールアドレスを検証する
24 時間以内に E メール内の指示に従って、E メールアドレスを検証します。24 時間以上経過している場合は、「[Resending the verification email](about-email-verification-resend.md)」を参照してください。
# で検証 E メールを再送信する AWS Organizations
24 時間以内にメールアドレスを検証しない場合、検証リクエストを再送信します。E メールアドレスを確認したら、他の AWS アカウント を組織に招待できます。検証 E メールが受信されない場合には、E メールアドレスが正しいことを確認し、必要に応じて変更します。
+ 管理アカウントに関連付けられたメールアドレスを確認するには、[管理アカウントを使用した組織の詳細の表示](orgs_view_org.md) を参照してください。
+ 管理アカウントに関連付けられたメールアドレスを変更するには、*AWS Billing ユーザーガイド*の [AWS アカウントの管理](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/manage-account-payment.html)を参照してください。
------
#### [ AWS マネジメントコンソール ]
**検証リクエストを再送信するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. **[設定](https://console.aws.amazon.com/organizations/v2/home/settings)**ページに移動し、[**Send verification request**] (確認リクエストの送信) を選択します。このオプションは、管理アカウントが検証されていない場合にのみ表示されます。
1. 24 時間以内に E メールアドレスを検証します。
------
メールアドレスを検証したら、別の AWS アカウント を組織に招待できます。詳細については、「[を使用したアカウントの招待の管理 AWS Organizations](orgs_manage_accounts_invites.md)」を参照してください。
# を使用して組織の E メールアドレスを変更する AWS Organizations
管理アカウントに関連付けられている E メールアドレスを変更するには、「 *AWS アカウント管理 リファレンスガイド*[」の「ルートユーザー AWS アカウント の名前、E メールアドレス、またはパスワードを更新する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)」を参照してください。
管理アカウントのメールアドレスを変更する場合、アカウントは「メール未検証」の状態に戻るため、新しいメールアドレスに対して検証プロセスを実施する必要があります。
**注記**
管理アカウントのメールアドレスの変更前に組織への招待をアカウントに送り、その招待が未承諾の場合、管理アカウントの新しいメールアドレスを検証するまでは、招待は承諾可能になりません。まず、[検証リクエストを再送信](about-email-verification-resend.md)する必要があります。送られてきたメールの内容に沿ってプロセスを完了すると、招待されたアカウントで招待が承諾できるようになります。
# を使用して組織のすべての機能を有効にする AWS Organizations
AWS Organizations には 2 つの機能セットがあります。
+ [すべての機能](orgs_getting-started_concepts.md#feature-set-all) – この機能セットは、優先的かつデフォルトの操作方法であり AWS Organizations、請求を統合するすべての機能が含まれています。組織を作成する際、デフォルトではすべての機能が有効化されています。すべての機能を有効にすると、[サポートされている AWS サービスや組織ポリシーとの統合](orgs_integrate_services_list.md)など、Organizations で使用できる高度なアカウント管理機能を使用できます。 [を使用した組織ポリシーの管理 AWS Organizations](orgs_manage_policies.md)
+ [一括請求機能](orgs_getting-started_concepts.md#feature-set-cb-only) – この機能セットは、組織全体で 1 つの請求を生成することに限定されています。一括請求では、他の管理機能は利用できません。
一括請求機能セットを使用して組織を作成する場合、後ですべての機能を有効にできます。ただし、すべての機能が有効化された後は、すべての機能から一括請求に移行することはできません。
**標準移行とアシスト移行**
すべての機能に移行するための 2 つのアプローチは、*標準移行*と*アシスト移行*です。
標準移行は、すべての AWS Organizations お客様がすべての機能モードを有効にするためのセルフサービスプロセスです。
アシスト移行は、エンタープライズサポートプランのお客様が組織をユーザーに代わってすべての機能モード AWS に移行するようにリクエストするプロセスです。
**注記**
**一方向プロセスとロールバックプロセス**
一括請求からすべての機能への移行は一方向です。すべての機能を有効にした組織を、統合された一括請求機能のみに切り替えることはできません。
アシスト移行プロセスを開始した後は、ロールバックできません。代わりに標準プロセスを実行する場合は、プロセスの有効期限が切れるまで 90 日間待つ必要があります。
**Topics**
+ [考慮事項](#before-enabling-all)
+ [標準移行プロセス](manage-begin-all-features-standard-migration.md)
+ [アシスト移行プロセス](manage-begin-all-features-assisted-migration.md)
## 考慮事項
一括請求のみをサポートする組織からすべての機能をサポートする機能に変更する前に、以下の点を考慮してください。
**招待されたアカウントは移行を承認する必要があります**
すべての機能を有効にするプロセスを開始すると、 は組織に*招待*したすべてのメンバーアカウントにリクエスト AWS Organizations を送信します。すべての招待されたアカウントは、すべての機能を有効にするリクエストを受け入れて承認する必要があります。その場合にのみ、プロセスを完了して組織内のすべての機能を有効にします。アカウントがリクエストを拒否した場合は、組織からアカウントを削除するか、リクエストを再送信する必要があります。すべての機能を有効にするプロセスを完了する前に、リクエストを受け入れる必要があります。* を使用して*作成した AWS Organizations アカウントは、追加のコントロールを承認する必要がないため、リクエストを取得しません。
**招待されたアカウントには、現在有効になっている機能セットが通知されます**
招待されたアカウントの所有者には、招待されている組織で有効なのは一括請求 (コンソリデーティッドビリング) だけか、それともすべての機能かが、招待時に通知されます。組織へのアカウントの招待は、すべての機能が有効になっている状態でも継続できます。
すべての機能の有効化プロセスの*進行中*にアカウントを招待した場合、招待には、組織はすべての機能が有効なものとして記載されます。アカウントが招待を承諾する前に、すべての機能の有効化プロセスをキャンセルすると、その招待はキャンセルされます。一括請求 (コンソリデーティッドビリング) 機能のみの組織として、再度招待する必要があります。
すべての機能の有効化プロセスの開始*前*にアカウントを招待し、招待が未承諾の場合、その招待はプロセスの開始時にキャンセルされます。これは、招待には一括請求 (コンソリデーティッドビリング) 機能のみの組織であると記載されているためです。すべての機能が有効になっている組織として、再度招待する必要があります。
**組織でアカウントを作成するプロセスは、移行の影響を受けません。**
組織内のアカウントの作成を継続できます。このプロセスがこうした変更の影響を受けることはありません。
**サービスにリンクされたロール `AWSServiceRoleForOrganizations` が必要**
AWS Organizations は、すべてのメンバーアカウントに という名前のサービスにリンクされたロールがあることを確認します`AWSServiceRoleForOrganizations`。すべての機能を有効にするには、このロールがすべてのアカウントで必須です。招待したアカウントでこのロールが削除されている場合は、すべての機能を有効にするために招待を承諾するとロールが再作成されます。を使用して作成されたアカウントのロールを削除した場合 AWS Organizations、そのアカウントはそのロールを再作成するための招待を受け取ります。組織ですべての機能を有効にする処理を完了するには、これらの招待をすべて受諾する必要があります。
# Organizations ですべての機能を有効にする標準移行プロセス
このトピックでは、標準の移行プロセスですべての機能を有効にする方法について説明します。
## ステップ 1: 招待されたアカウントに移行を承認するようにリクエストする (管理アカウント)
組織の管理アカウントにサインインすると、すべての機能の有効化プロセスを開始できます。そのためには、以下の手順を完了します。
**最小アクセス許可**
組織内のすべての機能を有効にするには、次のアクセス権限が必要です。
`organizations:EnableAllFeatures`
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
------
#### [ AWS マネジメントコンソール ]
**招待されたメンバーアカウントに、組織内のすべての機能を有効にすることに同意するよう依頼する**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. [**[設定](https://console.aws.amazon.com/organizations/v2/home/settings)**] ページで、[**すべての機能の有効化プロセスの開始**] を選択します。
1. [**[すべての機能の有効化](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)**] ページで、[**すべての機能の有効化プロセスの開始**] を選択して切り替えた後、一括請求機能のみの設定には戻れないことを理解していることを確認します。
AWS Organizations は、組織内のすべての招待 (未作成) アカウントにリクエストを送信し、組織内のすべての機能を有効にするための承認を求めます。を使用して作成されたアカウントがあり AWS Organizations 、メンバーアカウント管理者が という名前のサービスにリンクされたロールを削除した場合`AWSServiceRoleForOrganizations`、 はそのアカウントに対してロールの再作成リクエスト AWS Organizations を送信します。
コンソールには、招待されたアカウントの**リクエストの承認ステータス**リストが表示されます。
**ヒント**
後でこのページに戻るには、[**[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)**] (設定) ページを開き、[**Request sent *date***] (リクエストの送信日) セクションで [**View status**] (ステータスを表示) を選択します。
1. [**[Enable all features](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)**] (すべての機能の有効化) ページには、組織内の各アカウントに対するリクエストの現在のステータスが表示されます。リクエストに同意したアカウントのステータスは、[**ACCEPTED**] (承諾済み) と表示されます。まだ同意していないアカウントのステータスは、[**OPEN**] (オープン) と表示されます。
------
#### [ AWS CLI & AWS SDKs ]
**招待されたメンバーアカウントに、組織内のすべての機能を有効にすることに同意するよう依頼する**
組織のすべての機能を有効にするには、次のいずれかのコマンドを使用します。
+ AWS CLI: [enable-all-features](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-all-features.html)
次のコマンドを実行すると、すべての機能の有効化プロセスが組織で開始されます。
```
$ aws organizations enable-all-features
{
"Handshake": {
"Id": "h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-79d8f6f114ee4304a5e55397eEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "REQUESTED",
"RequestedTimestamp": "2020-11-19T16:21:46.995000-08:00",
"ExpirationTimestamp": "2021-02-17T16:21:46.995000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-a1b2c3d4e5",
"Type": "ORGANIZATION"
}
]
}
}
```
出力には、招待されたメンバーアカウントが同意する必要があるハンドシェイクの詳細が表示されます。
+ AWS SDKs: [EnableAllFeatures](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAllFeatures.html)
------
**注意事項**
リクエストがメンバーアカウントに送信されると、90 日のカウントダウンが開始されます。すべてのアカウントは期間内にリクエストを承認する必要があり、承認されない場合リクエストの有効期限が切れます。リクエストの有効期限が切れると、この試行に関連するすべてのリクエストがキャンセルされます。この場合はステップ 2 からやり直す必要があります。
すべての機能の有効化をリクエストすると、受理されていない既存のアカウントへの招待はキャンセルされます。
すべての機能の移行プロセス中でも、新しいアカウントの招待を開始したり、新しいアカウントを作成したりすることができます。
すべてのアカウントがリクエストを承認したら、プロセスを終了してすべての機能を有効化できます。組織に*招待された*メンバーアカウントがない場合は、プロセスをすぐに終了することもできます。プロセスを終了するには、[ステップ 3: 移行プロセスを完了してすべての機能を有効にする (管理アカウント)](#finalize-migration) の手順を実施してください。
## ステップ 2: リクエストを承認してすべての機能を有効にする、またはサービスにリンクされたロールを再作成する (招待アカウント)
組織の招待されたメンバーアカウントのいずれかにサインインすると、管理アカウントからのリクエストを承認できます。アカウントが元は組織に参加するように招待されたものである場合、招待はすべての機能を有効にするものであり、必要に応じた `AWSServiceRoleForOrganizations` ロールの再作成の黙示的な承認を含んでいます。アカウントが代わりに を使用して作成 AWS Organizations され、`AWSServiceRoleForOrganizations`サービスにリンクされたロールを削除した場合、ロールを再作成するための招待のみが送信されます。そのためには、以下の手順を完了します。
**重要**
次のすべての機能を有効にすると、組織の管理アカウントはメンバーアカウントにポリシーベースのコントロールを適用できます。これらのコントロールは、ユーザーはもちろん、管理者として自分がアカウント内で実行できることも制限できます。こうした制限により、アカウントが組織を離れるのを禁止することも可能になります。
**最小アクセス許可**
メンバーアカウントのすべての機能を有効にするリクエストを承認するには、次のアクセス許可が必要です。
`organizations:AcceptHandshake`
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
`organizations:ListHandshakesForAccount` - Organizations コンソールを使用する場合にのみ必要
`iam:CreateServiceLinkedRole` - メンバーアカウントで `AWSServiceRoleForOrganizations` ロールを再作成する必要がある場合にのみ必要
------
#### [ AWS マネジメントコンソール ]
**組織内のすべての機能を有効にするためのリクエストに同意するには**
1. AWS Organizations コンソールで [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。メンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 必要があります。
1. 組織内のすべての機能のリクエストの受け入れがあなたのアカウントのものであることを確認した後、[**Accept**] を選択します。このページでは、組織内のすべてのアカウントがリクエストを承認し、管理アカウントの管理者がプロセスを終了するまで、プロセスが未完了であると表示されます。
------
#### [ AWS CLI & AWS SDKs ]
**組織内のすべての機能を有効にするためのリクエストに同意するには**
リクエストに同意するには、`"Action": "APPROVE_ALL_FEATURES"` でハンドシェイクを承諾する必要があります。
+ AWS CLI:
+ [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html)
+ [list-handshakes-for-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-account.html)
次の例は、アカウントで使用可能なハンドシェイクを一覧表示する方法を示しています。`"Id"` の値 (出力の 4 行目) は、次のコマンドに必要な値です。
```
$ aws organizations list-handshakes-for-account
{
"Handshakes": [
{
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
]
}
```
次の例では、前のコマンドのハンドシェイク ID を使用して、そのハンドシェイクを受け入れます。
```
$ aws organizations accept-handshake --handshake-id h-a2d6ecb7dbdc4540bc788200aEXAMPLE
{
"Handshake": {
"Id": "h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/approve_all_features/h-a2d6ecb7dbdc4540bc788200aEXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
},
{
"Id": "111122223333",
"Type": "ACCOUNT"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-19T16:35:24.824000-08:00",
"ExpirationTimestamp": "2021-02-17T16:35:24.035000-08:00",
"Action": "APPROVE_ALL_FEATURES",
"Resources": [
{
"Value": "c440da758cab44068cdafc812EXAMPLE",
"Type": "PARENT_HANDSHAKE"
},
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
},
{
"Value": "111122223333",
"Type": "ACCOUNT"
}
]
}
}
```
+ AWS SDKs:
+ [list-handshakes-for-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-account.html)
+ [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html)
------
## ステップ 3: 移行プロセスを完了してすべての機能を有効にする (管理アカウント)
招待されたメンバーアカウントすべてが全機能を有効にするリクエストを承認する必要があります。組織に招待されたメンバーアカウントがない場合、[**Enable all features progress**] ページにはプロセスを終了できる緑色のバナーが表示されます。
**最小アクセス許可**
組織のすべての機能を有効にするためのプロセスを終了するには、次のアクセス権限が必要です。
`organizations:AcceptHandshake`
`organizations:ListHandshakesForOrganization`
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
------
#### [ AWS マネジメントコンソール ]
**すべての機能を有効にするプロセスを終了するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. すべての機能の有効化のリクエストがすべての招待されたアカウントによって承認されると、[**[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)**] (設定) ページの上部に緑色のボックスが表示されます。緑色のボックスで、[**Go to finalize**] (終了処理に進む) を選択します。
1. **[[すべての機能の有効化]](https://console.aws.amazon.com/organizations/v2/home/settings/enable-all-features)** ページで **[完了する]** を選択し、確認ダイアログボックスでもう一度 **[完了する]** を選択します。
1. 現在、組織は、すべての機能が有効になっています。
------
#### [ AWS CLI & AWS SDKs ]
**すべての機能を有効にするプロセスを終了するには**
プロセスを終了するには、[`"Action": "ENABLE_ALL_FEATURES"`] でハンドシェイクを承諾する必要があります。
+ AWS CLI:
+ [list-handshakes-for-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-handshakes-for-organization.html)
+ [accept-handshake](https://docs.aws.amazon.com/cli/latest/reference/organizations/accept-handshake.html)
```
$ aws organizations list-handshakes-for-organization
{
"Handshakes": [
{
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "OPEN",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
]
}
```
次の例は、組織で使用可能なハンドシェイクを一覧表示する方法を示しています。`"Id"` の値 (出力の 4 行目) は、次のコマンドに必要な値です。
```
$ aws organizations accept-handshake \
--handshake-id h-43a871103e4c4ee399868fbf2EXAMPLE
{
"Handshake": {
"Id": "h-43a871103e4c4ee399868fbf2EXAMPLE",
"Arn": "arn:aws:organizations::123456789012:handshake/o-aa111bb222/enable_all_features/h-43a871103e4c4ee399868fbf2EXAMPLE",
"Parties": [
{
"Id": "a1b2c3d4e5",
"Type": "ORGANIZATION"
}
],
"State": "ACCEPTED",
"RequestedTimestamp": "2020-11-20T08:41:48.047000-08:00",
"ExpirationTimestamp": "2021-02-18T08:41:48.047000-08:00",
"Action": "ENABLE_ALL_FEATURES",
"Resources": [
{
"Value": "o-aa111bb222",
"Type": "ORGANIZATION"
}
]
}
}
```
+ AWS SDKs:
+ [ListHandshakesForOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListHandshakesForOrganization.html)
+ [AcceptHandshake](https://docs.aws.amazon.com/organizations/latest/APIReference/API_AcceptHandshake.html)
------
# Organizations ですべての機能を有効にするための移行プロセスを支援
エンタープライズのお客様は、管理するアカウントが多いため、標準の移行プロセスを完了することが難しい場合があります。例えば、大規模な組織で招待されたすべてのアカウントを移行するための承認を取得できない場合があります。
アシスト移行は、エンタープライズサポートプランのお客様がユーザーに代わって組織をすべての機能 AWS に移行するようリクエストできるようにすることで、このプロセスに役立ちます。このプロセスでは、すべてのアカウントを所有することを確認する契約に署名する必要があります。その後、組織内のすべてのメンバーアカウントに移行が E メールで通知され、E メール通知によって 14 日間の待機期間がトリガーされます。この待機期間により、アカウントはすべての機能への移行が有効になる前に組織を離れる時間を確保できます。
------
#### [ AWS マネジメントコンソール ]
**アシスト移行を使用してすべての機能に移行するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. **[設定](https://console.aws.amazon.com/organizations/v2/home/settings)**ページで、**[すべての機能を有効にする]** を選択し、**[アシスト移行]** を選択します。
1. 契約の利用規約を読み、**[承諾]** を選択し、**[すべての機能を有効にするプロセスを開始する]** を選択して、移行を開始します。
**注記**
**アシスト移行プロセスを開始すると、標準の移行プロセスが上書きされます**
現在、標準の移行プロセスを使用してすべての機能を有効にしている場合、その機能はキャンセルされ、アシスト移行プロセスが開始されます。
**アシスト移行プロセスは一方向であり、ロールバックできません**
アシスト移行プロセスを開始した後は、ロールバックできません。代わりに標準プロセスを実行する場合は、プロセスの有効期限が切れるまで 90 日間待つ必要があります。
------
アシスト移行を使用する場合、すべての機能への移行を受け入れるために、ルートユーザーとして招待されたアカウントにアクセスすることを心配する必要はありません。
アシスト移行の正確な詳細、進捗状況、タイムラインについては、テクニカルアカウントマネージャー (TAM) にお問い合わせください。
# 管理アカウントを使用した組織の詳細の表示
[AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)で組織の管理アカウントにサインインすると、組織の詳細を表示できます。
**最小アクセス許可**
組織の詳細を表示するには、次のアクセス権限が必要です。
`organizations:DescribeOrganization`
------
#### [ AWS マネジメントコンソール ]
**組織の詳細を表示するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[設定](https://console.aws.amazon.com/organizations/v2/home/settings)**ページに移動します。このページには、組織 ID や、組織の管理アカウントに割り当てられているアカウント名と電子メールアドレスなどの組織の詳細が表示されます。
------
#### [ AWS CLI & AWS SDKs ]
**組織の詳細を表示するには**
組織の詳細を表示するには、次のいずれかのコマンドを使用します。
+ AWS CLI: [describe-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html)
次の例は、このコマンドの出力に含まれる情報を示しています。
```
$ aws organizations describe-organization
{
"Organization": {
"Id": "o-aa111bb222",
"Arn": "arn:aws:organizations::123456789012:organization/o-aa111bb222",
"FeatureSet": "ALL",
"MasterAccountArn": "arn:aws:organizations::128716708097:account/o-aa111bb222/123456789012",
"MasterAccountId": "123456789012",
"MasterAccountEmail": "admin@example.com",
"AvailablePolicyTypes": [ ...DEPRECATED - DO NOT USE... ]
}
}
```
**重要**
`AvailablePolicyTypes` フィールドは非推奨であり、組織で有効になっているポリシーに関する正確な情報が含まれません。組織で実際に有効になっているすべてのポリシータイプの正確な一覧を確認するには、`ListRoots` コマンドを使用します。詳しくは、次のセクションの AWS CLI に関する部分を参照してください。
+ AWS SDKs: [DescribeOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeOrganization.html)
------
# を使用した組織の削除 AWS Organizations
不要になった組織は削除できます。組織を削除しても管理アカウントは閉鎖されません。管理アカウントが組織から削除され、組織自体も削除されます。
以前の管理アカウント AWS アカウント は、 によって管理されなくなったスタンドアロンアカウントになります AWS Organizations。次に 3 つの選択肢があります。
+ スタンドアロンアカウントとして引き続き使用できます。
+ これを使用して別の組織を作成できます。
+ 別の組織からの招待を受け入れて、その組織にメンバーアカウントとしてアカウントを追加できます。
**Topics**
+ [考慮事項](#orgs_manage_org_delete-considerations)
+ [組織を削除する](#orgs_manage_org_delete_procedure)
## 考慮事項
**削除された組織は復元できません**
組織を削除した場合、その組織は復元できません。組織内にポリシーを作成していた場合、それらのポリシーも削除され、復元はできません。
**Organizations を削除できるのは、すべてのメンバーアカウントが削除された後のみです。**
組織からすべてのメンバーアカウントを消去した場合に限り、組織を削除できます。を使用して一部のメンバーアカウントを作成した場合 AWS Organizations、それらのアカウントの削除がブロックされる可能性があります。スタンドアロンの AWS アカウントとして動作するために必要な情報すべてがある場合に限り、メンバーアカウントを削除できます。その情報を提供してアカウントを削除する方法について詳しくは、[を使用してメンバーアカウントから組織を離れる AWS Organizations](orgs_manage_accounts_leave-as-member.md) を参照してください。
**「一時停止」状態のメンバーアカウントは組織から削除できません**
組織から削除する前にメンバーアカウントを閉鎖した場合、そのアカウントは一定期間「`Closed`」状態になり、完全に閉鎖されるまでは組織から削除することができません。この処理には最大 90 日かかります。すべてのメンバーアカウントが完全に閉鎖されるまでは、組織を削除できない場合があります。
**組織を削除することで組織から管理アカウントを削除すると、そのアカウントに次の影響が及びます。**
+ このアカウントは独自の料金のみを支払うことになり、他のアカウントの料金を支払う責任はなくなります。
+ 他のサービスとの統合が無効になる場合があります。例えば、 AWS IAM アイデンティティセンター では組織を運用する必要があるため、IAM Identity Center をサポートする組織からアカウントを削除すると、そのアカウントのユーザーはそのサービスを使用できなくなります。
組織の管理アカウントが SCP (サービスコントロールポリシー) の影響を受けることはないので、SCP を利用できなくなってもアクセス許可が変更されることはありません。
**すべてのレポートをバックアップする**
管理アカウント、特に請求レポートからレポートをエクスポートまたはバックアップしてください。組織を削除すると、組織レベルのレポートと履歴は保存されません。すべてのコストデータ (Cost Explorer データセットなど) が削除されます。すべての請求履歴を完全にエクスポートすることをお勧めします。
詳細については、「[Cost and Usage Reports](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html)」、「[Cost Explorer Reports](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-reports.html)」、「[Savings Plans Reports](https://docs.aws.amazon.com/savingsplans/latest/userguide/ce-sp-usingPR.html#ce-dl-pr)」、「[Reserved Instance (RI) utilization and coverage](https://repost.aws/knowledge-center/ec2-ri-utilization-coverage-cost-explorer)」を参照してください。
## 組織を削除する
以前の管理アカウントを、 によって管理されなくなったスタンドアロンに戻す組織を削除するには AWS アカウント 、次の手順に従います AWS Organizations。
**最小アクセス許可**
組織を削除するには、管理アカウントのユーザーまたはロールとしてサインインし、次の許可を付与される必要があります。
`organizations:DeleteOrganization`
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
### AWS マネジメントコンソール
**組織を削除するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. 組織を削除する前に、すべてのアカウントを組織から削除する必要があります。詳細については、「[を使用して組織からメンバーアカウントを削除する AWS Organizations](orgs_manage_accounts_remove.md)」を参照してください。
1. [**[Settings](https://console.aws.amazon.com/organizations/v2/home/settings)**] (設定) ページに移動し、[**Delete organization**] (組織の削除) を選択します。
1. [**Delete organization**] (組織の削除) 確認ダイアログボックスで、テキストボックスの上の行に表示されている組織の ID を入力します。次に、[**Delete organization**] (組織の削除) を選択します。
**重要**
この操作では管理アカウントは**閉鎖されず**、スタンドアロンの AWS アカウント に戻ります。アカウントを閉鎖するには、[を使用して組織のメンバーアカウントを閉鎖する AWS Organizations](orgs_manage_accounts_close.md) の手順に従ってください。
### AWS CLI & AWS SDKs
次のサンプルコードは、`DeleteOrganization` を使用する方法を説明しています。
------
#### [ .NET ]
**SDK for .NET**
GitHub には、その他のリソースもあります。用例一覧を検索し、[AWS コード例リポジトリ](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)での設定と実行の方法を確認してください。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Shows how to delete an existing organization using the AWS
/// Organizations Service.
///
public class DeleteOrganization
{
///
/// Initializes the Organizations client and then calls
/// DeleteOrganizationAsync to delete the organization.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var response = await client.DeleteOrganizationAsync(new DeleteOrganizationRequest());
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine("Successfully deleted organization.");
}
else
{
Console.WriteLine("Could not delete organization.");
}
}
}
```
+ API の詳細については、「*AWS SDK for .NET API リファレンス*」の「[DeleteOrganization](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/DeleteOrganization)」を参照してください。
------
#### [ CLI ]
**AWS CLI**
**組織を削除するには**
次の例は、組織を削除する方法を示しています。この操作を実行するには、組織のマスターアカウントの管理者である必要があります。この例では、組織からメンバーアカウント、OU、ポリシーをすべて削除済みであることを前提としています。
```
aws organizations delete-organization
```
+ API の詳細については、AWS CLI コマンドリファレンスの「[DeleteOrganization](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/delete-organization.html)」を参照してください。**
------