0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@Shimizu_Keita(清水 啓太)

【AWS Organizations】組織とメンバアカウント作成してみた(マルチアカウント)

0
Last updated at Posted at 2026-01-04

【AWS Organizations】個人でマルチアカウント作成してみた

開発をしているとあまり経験することがないOrganizationsを使用して複数組織を作成してみました。
本記事は参考URL一覧の手順を実際にやってみて自分なりのポイントなどを整理していきます。

最終的な構成図はこちらになります。
(dev-member-1は名称が良くないのでいつか再作成したいと思います)
OUイメージ.png

1.組織とメンバアカウント作成

こちらに関してはクラスメソッド様の手順をそのまま実行しています。

  • AWS Organizationsの有効化

    • コンソール画面上部検索バーで「Organizations」で検索
      AWS Organizationsの有効化1.png
    • AWS OrganizationsのTop画面にて「組織を作成する」を押下
       ※こちらはスクショを撮り忘れたため詳細は上記クラスメソッド様のサイトをご確認お願いします。

  • メンバーアカウントの作成

    • 「AWSアカウントを追加」を押下
      メンバアカウントルート作成一元化1.png

    • 作成したいアカウント名、メールアドレス、ロール名を記載して「AWSアカウントを作成」を押下
      組織とメンバアカウント作成2.png

      • AWS アカウント名
        任意の値を記載(dev-member-1)
        ※用途にもよるが、ユーザーではなくアカウントなのでHoge-Accountなどの方が良い
      • アカウント所有者の E メールアドレス
        • fugafuga+devMember1@gmail.com
          メンバアカウント毎にメールアドレスを発行すると管理が煩雑になる為、Gmailのエイリアス機能を使用して1つのメールアドレスですべてのアカウントを作成します。詳細はこちらを参照してください

      こちらは任意ですが、Gmailのエイリアス機能が便利なので、簡単にご紹介します。
      通常、アカウント毎にメールアドレスを準備する必要があり、今回の手順を行うと最低4つ必要になり、管理も作成も面倒です。
      エイリアス機能を使うことで、異なるメールアドレスを、1つのメールアドレスに集約できます。
      使う方法は、メールアドレスの「@」の前に「+<任意文字列>」を付けるだけです。
      Gmail側での設定等も不要です。(受信ボックスを分けたい場合等は設定が必要)
      例えば、ルートユーザーのメールアドレスが、「rootuser@gmail.com」であれば、「rootuser+devAccount@gmail.com」とします。
      rootuser+devAccount@gmail.com」宛のメールは、「rootuser@gmail.com」に届きます。

      • IAM ロール名
        これはスイッチロールする際に必要なロール名(追加アカウント内に作成される)なので基本デフォルトの「OrganizationAccountAccessRole」で良いです。
        ※作成後のロールには「AdministratorAccess」ポリシーが付与されます。
        組織とメンバアカウント作成2-3.png

  • OU(Organizational Unit)作成
    こちらに関しては注意する箇所はとくにありません。下記順序で作成していきます。

    • Rootのチェックボックスをチェック > アクション > 「新規作成」
      組織とメンバアカウント作成3.png

    • 作成したい組織名を記載
      組織とメンバアカウント作成4.png

    • メンバアカウントを対象組織配下へ移動
      ※下記画像は既に移動済みですが手順は同じです。
      組織とメンバアカウント作成6.png

      「AWS アカウントを移動」を押下
      組織とメンバアカウント作成7.png

これで完了です。上記手順でSecurity OUも作成した最終的な状態はこちらになります。
組織とメンバアカウント作成5.png

2.切り替え確認

続いて作成したメンバアカウントへアクセスしていきます。(自分はマルチセッションサポートをオンにしています)

  • コンソール画面右上 > 「セッションを追加」 > 「新しいロール」
    接続確認1.png

  • 必要な情報を記載 > 「ロールの切り替え」
    接続確認2.png

    • アカウント ID
      • メンバアカウント時に発行されたIDを記載
    • IAM ロール名
      • メンバアカウント時に指定したロール名を記載。デフォルトの場合「OrganizationAccountAccessRole」
    • 表示名(オプション)
      • 指定しなくても良いですが、自分はアカウント名を指定しました。
    • 表示色(オプション)
      • 特に指定しなくても大丈夫です。

ロール切り替え後、コンソール画面右上が表示名(dev-member-1)になっていれば成功です。
接続確認3.png

3.まとめ

複数アカウント管理の方法は知識としては知っていましたが、実際作成すると知識だけではわからない部分もあったので良い勉強になりました。

また、このままでは各メンバアカウントのrootユーザーが存在してしまい、セキュリティリスクと管理の問題が発生します。時間があるときに別でrootユーザーの一元管理の記事を書こうと思います。

参考URL一覧

  1. 【AWS Organizations】意外と簡単!個人で始めるAWSマルチアカウント入門
  2. AWS Organizations を有効化しメンバーアカウントを新規作成するまでの全体の流れを把握してみる
  3. 【Organizations】AWSアカウントを作成する
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?