AWS Organizationsを使用すると、請求先等を共有するAWSアカウントを一元管理できます。1つのAWSアカウント内で独立する複数のアプリケーションを稼働させていると、何に利用されているのかわからないリソースが作成されてしまったり、アカウントに過剰な権限が付与されてしまったりしますが、AWS Organizationsを用いて環境ごとにアカウントを分けることで、見通しを良くすることができます。
AWS Organizationsでアカウントを作成する際、初期パスワードを入力する欄はありません。このため、メンバーアカウントでログインするためにはパスワード復旧手順(=パスワードリセットメール)を使用する必要があります。
Accessing and administering the member accounts in your organization
When you create a new account, AWS Organizations initially assigns a password to the root user that is a minimum of 64 characters long. All characters are randomly generated with no guarantees on the appearance of certain character sets. You can't retrieve this initial password. To access the account as the root user for the first time, you must go through the process for password recovery.
ここで問題になってくるのは、パスワードリセットには正常に受信できるメールアドレスが必要であるという点です。このため、誤ったメールアドレスを使用してメンバーアカウントを作成してしまった場合、そのアカウントにログインすることはできません。また、AWS Organizationsでメンバーアカウントの作成はできても削除することはできません。
サポートに問い合わせてみたところ、以下のような返答でした。
誤って作成されたアカウントにご登録のメールアドレスを作成いただけない場合、
アカウントの削除とはなりませんが、下記の方法でご対応いただけないか、ご確認のほどお願いいたします。【メンバーアカウントにサービスコントロールポリシー(以下、SCP)を設定する】
Organization 配下のメンバーアカウントに対しては、IAM ポリシーと同等の SCP を設定することが可能でございます。
全てのリソースのすべての Action を拒否することで、実質的に該当アカウントの利用を無効化することができます。詳細につきましては、以下のドキュメントをご参照いただけますと幸いでございます。
※マスターアカウントにて設定いただく必要がございます。
※設定方法などでご不明点がございます場合は、技術サポート窓口までお問い合わせが必要となります。ご了承ください。▼サービスコントロールポリシー
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scp.htmlアカウントの削除につながるご案内とならず申し訳ございませんが、
AWS側でお客様のアカウントの削除や登録メールアドレスのご変更などは承っておりませんので、
上記でご対応いただけないか、ご確認いただけますと幸いでございます。
AWS側でのアカウント削除等は行っていないとのこと。辛いですがセキュリティのことを考えれば当然の処置とも言えますね。
皆様もAWS Organizationsを使用する際は気を付けましょう
それにしても登録時にメールアドレスが本当に正しいのか確認の画面くらい入れてくれても良いと思うのですが。