翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織を設定する
複数の がある場合は AWS アカウント、 の組織を通じてそれらのアカウントを論理的に管理できますAWS Organizations。のアカウント AWS Organizations は、 AWS リソースと AWS アカウント 、それらのリソースにアクセスできる ID を含む標準です。組織は、 を統合して 1 つのユニットとして管理 AWS アカウント できるようにするエンティティです。
アカウントを使用して組織を作成すると、そのアカウントが組織の管理アカウント (支払い者アカウントまたはルートアカウントとも言います) になります。組織が持つことのできる管理アカウントは 1 つだけです。組織に を追加する AWS アカウント と、メンバーアカウントになります。
注記
各 には、ルートユーザーと呼ばれる単一の ID AWS アカウント もあります。アカウントの作成に使用したメールアドレスとパスワードを使用して、ルートユーザーとしてサインインできます。ただし、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことを強くお勧めします。詳細については、「AWS アカウント のルートユーザー」を参照してください。
また、メンバーアカウントのルートアクセスを一元化し、組織内のメンバーアカウントからルートユーザー認証情報を削除することをお勧めします。
アカウントは、組織ルート、組織単位 (OU)、メンバーアカウントから成る階層ツリー構造に整理されます。ルートとは、組織のすべてのアカウントが設定された親コンテナのことです。組織単位 (OU) とは、ルート内にあるアカウントのコンテナのことです。OU には他の OU やメンバーアカウントを含めることができます。OU は、親を 1 つだけ持つことができ、各アカウントは 1 つの OU にのみ属することができます。詳細については、「用語と概念 (AWS Organizations ドキュメント)」を参照してください。
サービスコントロールポリシー (SCP) は、ユーザーとロールが使用できるサービスとアクションを指定します。SCPsは、アクセス許可を付与しない点を除いて、 AWS Identity and Access Management (IAM) アクセス許可ポリシーに似ています。その代わりとして、SCP はアクセス許可の最大数を定義します。ポリシーを階層内のノードのどれかにアタッチすると、そのポリシーは、ノード内のすべての OU とアカウントに適用されます。例えば、ポリシーをルートに適用した場合、そのポリシーは組織内のすべての OU とアカウントに適用されます。またポリシーを OU に適用した場合、そのポリシーは、ターゲット OU の OU とアカウントにのみ適用されます。
リソースコントロールポリシー (RCP) は、組織内のリソースに対して使用可能な最大アクセス許可を一元的に制御します。RCPsは、アカウント内のリソースが組織のアクセスコントロールガイドラインの範囲内に収まるようにするのに役立ちます。
AWS Organizations コンソールを使用して、組織内のすべてのアカウントを一元的に表示および管理できます。組織を利用する利点の 1 つは、管理アカウントとメンバーアカウントに関連するすべての料金が記載された一括請求書を受け取ることができることです。詳細については、「一括請求 (AWS Organizations ドキュメント)」を参照してください。
ベストプラクティス
-
既存の を使用して組織 AWS アカウント を作成しないでください。新しいアカウントを作成します。これが組織の管理アカウントになります。特権オペレーションは組織の管理アカウント内で実行でき、SCPs と RCPs管理アカウントには適用されません。そのため、管理アカウントに含まれるクラウドリソースとデータは、管理アカウントで管理する必要があるものだけに制限する必要があります。
-
管理アカウントへのアクセスを、新しい をプロビジョニング AWS アカウント し、組織を管理する必要がある個人のみに制限します。
-
SCP を使用して、ルート、組織単位、メンバーアカウントにアクセス許可の最大数を定義します。SCP を管理アカウントに直接適用することはできません。
-
RCPs を使用して、メンバーアカウントのリソースの最大アクセス許可を定義します。RCPsを管理アカウントに直接適用することはできません。
-
のベストプラクティス AWS Organizations (AWS Organizations ドキュメント) に従ってください。
