翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用したメンバーアカウントの管理 AWS Organizations
<a name="orgs-manage_accounts_members"></a>

*メンバーアカウント*は AWS アカウント、組織の一部である管理アカウント以外の です。

このトピックでは、 を使用してメンバーアカウントを管理する方法について説明します AWS Organizations。

**Topics**
+ [メンバーアカウントのベストプラクティス](orgs_best-practices_member-acct.md)
+ [メンバーアカウントを作成する](orgs_manage_accounts_create.md)
+ [メンバーアカウントへのアクセス](orgs_manage_accounts_access.md)
+ [メンバーアカウントの閉鎖](orgs_manage_accounts_close.md)
+ [メンバーアカウントが閉鎖されないように保護する](orgs_account_close_policy.md)
+ [メンバーアカウントの削除](orgs_manage_accounts_remove.md)
+ [メンバーアカウントから組織を脱会する](orgs_manage_accounts_leave-as-member.md)
+ [メンバーアカウントのアカウント名を更新する](orgs_manage_accounts_update_name.md)
+ [メンバーアカウントのルートユーザー の E メールアドレスを更新する](orgs_manage_accounts_update_primary_email.md)

# メンバーアカウントのベストプラクティス
<a name="orgs_best-practices_member-acct"></a>

組織内のメンバーアカウントのセキュリティを保護するために、以下の推奨事項に従ってください。これらの推奨事項は、[厳密に必要とするタスクにのみルートユーザーを使用するというベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)を遵守していることを前提としています。

**Topics**
+ [アカウント名と属性を定義する](#bp_member-acct_define-acct)
+ [環境とアカウントの使用量を効率的にスケールする](#bp_member-acct_efficiently-scale)
+ [ルートアクセス管理の有効化による、メンバーアカウントのルートユーザー認証情報の管理の簡素化](#bp_member-acct_root-access-management)

## アカウント名と属性を定義する
<a name="bp_member-acct_define-acct"></a>

メンバーアカウントには、アカウントの使用状況を反映した命名構造とメールアドレスを使用してください。たとえば、`WorkloadsFooADev` に「`Workloads+fooA+dev@domain.com`」、`WorkloadsFooBDev` に「`Workloads+fooB+dev@domain.com`」などです。組織でカスタムタグを定義している場合は、アカウントの使用方法、コストセンター、環境、およびプロジェクトを反映したアカウントにそれらのタグを割り当てることをおすすめします。これにより、アカウントの識別、整理、検索が容易になります。

## 環境とアカウントの使用量を効率的にスケールする
<a name="bp_member-acct_efficiently-scale"></a>

スケールするときは、新しいアカウントを作成する前に、不要な重複を避けるために、同様のニーズのアカウントがまだ存在しないことを確認してください。 AWS アカウント は一般的なアクセス要件に基づいている必要があります。サンドボックスアカウントや同等のアカウントを再利用する予定がある場合は、そのアカウントの不要なリソースやワークロードをクリーンアップし、後で使用できるようにアカウントを保存しておくことをおすすめします。

アカウントを閉鎖する際には、アカウント閉鎖クォータ制限が適用されることに注意してください。詳細については、「[のクォータとサービス制限 AWS Organizations](orgs_reference_limits.md)」を参照してください。可能であれば、アカウントを閉鎖して新しいアカウントを作成するのではなく、クリーンアッププロセスを実行してアカウントを再利用することを検討してください。これにより、リソースを実行することによるコストの発生や [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) の上限に達することを回避できます。

## ルートアクセス管理の有効化による、メンバーアカウントのルートユーザー認証情報の管理の簡素化
<a name="bp_member-acct_root-access-management"></a>

メンバーアカウントのルートユーザー認証情報のモニタリングと削除を簡素化するため、ルートアクセス管理を有効にすることをお勧めします。ルートアクセス管理は、ルートユーザー認証情報のリカバリを防ぎ、組織内のアカウントセキュリティを向上させます。
+ ルートユーザーへのサインインを防ぐには、メンバーアカウントのルートユーザー認証情報を削除します。これにより、メンバーアカウントによるルートユーザーのリカバリも防ぐことができます。
+ 特権セッションを引き受けて、メンバーアカウントに対して以下のタスクを実行します。
  + すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されたバケットポリシーを削除します。
  + すべてのプリンシパルによる Amazon SQS キューへのアクセスを拒否する Amazon Simple Queue Service リソースベースのポリシーを削除します。
  + メンバーアカウントにルートユーザー認証情報のリカバリを許可します。メンバーアカウントのルートユーザー E メール 受信トレイにアクセスできるユーザーは、ルートユーザーパスワードをリセットし、メンバーアカウントのルートユーザーにサインインすることができます。

ルートアクセス管理を有効にすることで、新しく作成されるメンバーアカウントはルートユーザー認証情報がないため「セキュアバイデフォルト」となり、プロビジョニング後の MFA などの追加のセキュリティが不要になります。

詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[メンバーアカウントのルートアクセスを一元化する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)」を参照してください。

### SCPを使用し、メンバーアカウントのルートユーザーで行えることを制限する
<a name="bp_member-acct_use-scp"></a>

サービスコントロールポリシー (SCP) を組織内に作成して組織のルートにアタッチし、すべてのメンバーアカウントに適用されるようにすることをお勧めします。詳細については、「[Organizations アカウントのルートユーザー認証情報を保護する](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations)」を参照してください。

メンバーアカウントで実行する必要がある特定のルート限定アクションを除いて、すべてのルートアクションを拒否できます。例えば、次の SCP は、メンバーアカウントのルートユーザーが AWS サービス API コールを実行できないようにします。ただし、「誤って設定された S3 バケットポリシーを更新し、すべてのプリンシパルへのアクセスを拒否する」 (ルート認証情報を必要とするアクションの 1 つ) は除きます。詳細については、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)」を参照してください。

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }
```

------

多くの場合、どのような管理タスクも、関連する管理者用アクセス許可を持つメンバーアカウントの AWS Identity and Access Management (IAM) ロールで実行することが可能です。このようなロールには、アクティビティの制限、ログ、モニタリングを行えるよう、適切なコントロールが適用されている必要があります。

# を使用して組織のメンバーアカウントを作成する AWS Organizations
<a name="orgs_manage_accounts_create"></a>

このトピックでは、 で組織 AWS アカウント 内で を作成する方法について説明します AWS Organizations。単一の を作成する方法については AWS アカウント、[「入門リソースセンター](https://aws.amazon.com/getting-started/)」を参照してください。

## メンバーアカウントを作成する前に考慮すべき事項
<a name="orgs_manage_accounts_create-considerations"></a>

**Organizations はメンバーアカウントの IAM ロール `OrganizationAccountAccessRole` を自動的に作成する**

組織でメンバーアカウントを作成すると、Organizations は (IAM) ロール `OrganizationAccountAccessRole` をメンバーアカウントで自動的に作成します。このロールにより、管理アカウントのユーザーおよびロールがメンバーアカウントを完全に管理コントロールを実行できるようになります。同じマネージドポリシーに関連付けられた追加アカウントは、ポリシーが更新されるたびに自動的に更新されます。このロールは、メンバーアカウントに適用されるすべての[サービスコントロールポリシー (SCP) ](orgs_manage_policies_scps.md)の対象となります。

**Organizations によるメンバーアカウントのサービスにリンクされたロール `AWSServiceRoleForOrganizations` の自動作成**

組織内にメンバーアカウントを作成すると、Organizations は`AWSServiceRoleForOrganizations`メンバーアカウントにサービスにリンクされたロールを自動的に作成し、一部の AWS サービスとの統合を可能にします。統合を許可するように他のサービスを設定する必要があります。詳細については、「[AWS Organizations およびサービスにリンクされたロール](orgs_integrate_services.md#orgs_integrate_services-using_slrs)」を参照してください。

**メンバーアカウントは組織のルートでのみ作成可能**

組織内のメンバーアカウントは組織のルートでのみ作成可能です。組織のメンバーアカウントルートを作成したら、OU 間で移動できます。詳細については、「[を使用した組織単位 (OU) またはルートと OUs 間のアカウントの移動 AWS Organizations](move_account_to_ou.md)」を参照してください。

**ルートにアタッチされたポリシーはすぐに適用される**

ルートにアタッチされたポリシーがある場合、それらのポリシーは即時、作成されたアカウントのすべてのユーザーおよびロールに適用されます。

[AWS 組織の別のサービスのサービス信頼を有効に](orgs_integrate_services_list.md)している場合、その信頼されたサービスは、サービスにリンクされたロールを作成したり、作成したアカウントを含む組織内の任意のメンバーアカウントでアクションを実行したりできます。

**メンバーアカウントは、マーケティング E メールを受信するにはオプトインする必要がある**

組織の一部として作成したメンバーアカウントは、 AWS マーケティング E メールに自動的にサブスクライブされません。マーケティングメールを受信するようアカウントをオプトインするには、[https://pages.awscloud.com/communication-preferences](https://pages.awscloud.com/communication-preferences) を参照してください。

**によって管理される組織のメンバーアカウントは、 で作成 AWS Control Tower する必要があります AWS Control Tower**

組織が によって管理されている場合は AWS Control Tower、 AWS Control Tower コンソールの AWS Control Tower account Factory または AWS Control Tower APIs を使用してメンバーアカウントを作成することをお勧めします。

組織が によって管理されているときに Organizations でメンバーアカウントを作成すると AWS Control Tower、そのアカウントは に登録されません AWS Control Tower。詳細については、AWS Control Tower ユーザーガイドの [AWS Control Tower外のリソースを参照する](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)を参照してください。

## メンバーアカウントを作成する
<a name="orgs_manage_accounts_create-new"></a>

組織の管理アカウントにサインインすると、組織に属するよう、メンバーアカウントを作成することができます。

次の手順を使用してアカウントを作成すると、 は管理アカウントから新しいメンバーアカウントに次の**主要連絡先情報** AWS Organizations を自動的にコピーします。
+ Phone number (電話番号)
+ 会社名
+ ウェブサイトの URL
+ Address

組織は、管理アカウントからコミュニケーション言語と Marketplace 情報 (一部の アカウントのベンダー AWS リージョン) もコピーします。

**最小アクセス許可**  
組織にメンバーアカウントを作成するには、次のアクセス権限が必要です。  
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
`organizations:CreateAccount`

### AWS マネジメントコンソール
<a name="orgs_manage_accounts_create-new-console"></a>

**自動的に組織の一部 AWS アカウント となる を作成するには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。

1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページで、**[Add an AWS アカウント]** ( を追加) を選択します。

1. **[[ AWS アカウントを追加]](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** ページで、**[ AWS アカウントを作成]** を選択します (デフォルトで選択されています)。

1. **[[ AWS アカウントを作成]](https://console.aws.amazon.com/organizations/v2/home/accounts/add/create)** ページの **[AWS アカウント 名]** に、アカウントに割り当てる名前を入力します。この名前は、アカウントを組織内の他のアカウントと区別する際に役立ちます。IAM エイリアスや所有者のメールの名前とは異なります。

1. [**Email address of the account's owner**] (アカウント所有者のメールアドレス) に、アカウントの所有者のメールアドレスを入力します。この E メールアドレスは、アカウントのルートユーザーのユーザー名認証情報になる AWS アカウント ため、既に別の E メールアドレスに関連付けることはできません。

1. (オプション) 新しいアカウント内に自動で作成される IAM ロールに割り当てる名前を指定します。このロールは、組織の管理アカウントに、新しく作成されたメンバーアカウントへのアクセス許可を付与します。名前を指定しない場合、 はロールにデフォルトの名前 AWS Organizations を付与します`OrganizationAccountAccessRole`。一貫性を保つため、すべてのアカウントでデフォルトの名前を使用することをお勧めします。
**重要**  
このロールの名前を忘れないでください。後で、管理アカウントのユーザーおよびロールの新しいアカウントにアクセス権限を付与する際に必要になります。

1. (オプション) [**タグ**] セクションで、[**タグの追加**] を選択してキーとオプションの値を入力し、新しいアカウントに 1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのアカウントに最大 50 個のタグをアタッチできます。

1. **[作成] AWS アカウント** を選択します。
   + 組織のアカウントクォータを超えたことを示すエラーが表示された場合は、[組織にアカウントを追加しようとすると「クォータを超えました」というメッセージが表示される](orgs_troubleshoot.md#troubleshoot_general_error-adding-account) を参照してください。
   + 組織がまだ初期化中であるため、アカウントを追加できないことを示すエラーが表示された場合は 1 時間待ってから、もう一度試してください。
   + アカウントの作成が成功したかどうかについては、 AWS CloudTrail ログを確認することもできます。詳細については、「[でのログ記録とモニタリング AWS Organizations](orgs_security_incident-response.md)」を参照してください。
   + エラーが引き続き発生する場合は、[AWS サポート](https://console.aws.amazon.com/support/home#/) までお問い合わせください。

   **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページが表示され、新しいアカウントがリストに追加されます。

1. これで、管理アカウントのユーザーに管理者アクセスを付与する IAM ロールを持つアカウントができました。このアカウントにアクセスするには、[を使用して組織のメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access.md) のステップを実施します。

### AWS CLI & AWS SDKs
<a name="orgs_manage_accounts_create-new-cli-sdk"></a>

次のサンプルコードは、`CreateAccount` を使用する方法を説明しています。

------
#### [ .NET ]

**SDK for .NET**  
 GitHub には、その他のリソースもあります。用例一覧を検索し、[AWS コード例リポジトリ](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)での設定と実行の方法を確認してください。

```
    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Creates a new AWS Organizations account.
    /// </summary>
    public class CreateAccount
    {
        /// <summary>
        /// Initializes an Organizations client object and uses it to create
        /// the new account with the name specified in accountName.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var accountName = "ExampleAccount";
            var email = "someone@example.com";

            var request = new CreateAccountRequest
            {
                AccountName = accountName,
                Email = email,
            };

            var response = await client.CreateAccountAsync(request);
            var status = response.CreateAccountStatus;

            Console.WriteLine($"The staus of {status.AccountName} is {status.State}.");
        }
    }
```
+  API の詳細については、*AWS SDK for .NET API リファレンス*の「[CreateAccount](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateAccount)」を参照してください。

------
#### [ CLI ]

**AWS CLI**  
**自動的に組織の一部となるメンバーアカウントを作成するには**  
次の例は、組織のメンバーアカウントを作成する方法を示しています。メンバーアカウントは、「プロダクションアカウント」という名前と E メールアドレス (susan@example.com) で構成されます。roleName パラメータが指定されていないため、Organizations では OrganizationAccountAccessRole というデフォルト名を使用して IAM ロールが自動的に作成されます。また、IamUserAccessToBilling パラメータが指定されていないため、必要な権限を持つ IAM ユーザーまたはロールにアカウントの請求データへのアクセスを許可する設定には、デフォルト値 ALLOW が使用されます。Organizations はスーザンに「ようこそ AWS」の E メールを自動的に送信します。  

```
aws organizations create-account --email susan@example.com --account-name "Production Account"
```
出力には、ステータスが現在の `IN_PROGRESS` 状態であることを示すリクエストオブジェクトが含まれます。  

```
{
        "CreateAccountStatus": {
                "State": "IN_PROGRESS",
                "Id": "car-examplecreateaccountrequestid111"
        }
}
```
describe-create-account-status コマンドに Id レスポンス値を create-account-request-id parameter の値として指定することで、後でリクエストの現在のステータスをクエリすることができます。  
詳細については、「 Organizations ユーザーガイド」の「組織での AWS アカウントの作成」を参照してください。 *AWS *  
+  API の詳細については、AWS CLI コマンドリファレンスの「[CreateAccount](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-account.html)」を参照してください。**

------

# を使用して組織のメンバーアカウントにアクセスする AWS Organizations
<a name="orgs_manage_accounts_access"></a>

組織でアカウントを作成すると、ルートユーザーに加えて、`OrganizationAccountAccessRole` というデフォルト名の IAM ロールがAWS Organizations によって自動的に作成されます。作成時に別の名前を指定できますが、すべてのアカウントで一貫して名前を付けることをお勧めします。 AWS Organizations は他のユーザーやロールを作成しません。

組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。

**最小アクセス許可**  
組織内の他のアカウント AWS アカウント から にアクセスするには、次のアクセス許可が必要です。  
`sts:AssumeRole` - `Resource` 要素は、アスタリスク (\$1) に設定するか、新しいメンバーアカウントにアクセスする必要のあるユーザーが含まれるアカウントのアカウント ID 番号に設定する必要があります。

------
#### [ Using the root user (Not recommended for everyday tasks) ]

組織に新しいメンバーアカウントを作成した時点では、アカウントにはデフォルトでルートユーザー認証情報がありません。メンバーアカウントは、アカウントリカバリが有効になっていない限り、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりすることはできません。

[メンバーアカウントのルートアクセスを一元化](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)することで、組織の既存のメンバーアカウントからルートユーザー認証情報を削除できます。ルートユーザー認証情報を削除すると、ルートユーザーのパスワード、アクセスキー、署名証明書が削除され、多要素認証 (MFA) が非アクティブ化されます。これらのメンバーアカウントはルートユーザー認証情報を持っておらず、ルートユーザーとしてサインインできず、ルートユーザーのパスワードをリカバリできません。Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。

ルートユーザー認証情報がないメンバーアカウントに対してルートユーザー認証情報を必要とするタスクを実行する必要がある場合は、管理者に問い合わせてください。

ルートユーザーとしてメンバーアカウントにアクセスする場合は、パスワード復旧プロセスを行う必要があります。詳細については、「*AWS サインインユーザーガイド*」の「[AWS アカウントアカウント のルートユーザーパスワードを忘れてしまった](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password)」を参照してください。

ルートユーザーを使用してメンバーアカウントにアクセスする必要がある場合は、次のベストプラクティスに従ってください。
+ ルートユーザーは、アクセス許可を制限した他のユーザーやロールの作成にのみ使用し、それ以外のアカウントへのアクセスには使用しないでください。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。
+ [ルートユーザーの多要素認証 (MFA) を有効にする](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa)。パスワードをリセットし、[root ユーザーに MFA デバイスを割り当てることができます](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)。

ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「*IAM ユーザーガイド*」の「[ルートユーザー資格情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。ルートユーザーのセキュリティに関するその他の推奨事項については、「*IAM ユーザーガイド*」の「[AWS アカウントのルートユーザーのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)」を参照してください。

------
#### [ Using trusted access for IAM Identity Center ]

で IAM Identity Center の信頼されたアクセスを使用[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)および有効にします AWS Organizations。これにより、ユーザーは会社の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられた管理アカウントまたはメンバーアカウントのリソースにアクセスできます。

詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[マルチアカウント権限](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html)」を参照してください。IAM Identity Center への信頼されたアクセス設定については、「[AWS IAM アイデンティティセンター および AWS Organizations](services-that-can-integrate-sso.md)」を参照してください。

------
#### [ Using the IAM role OrganizationAccountAccessRole ]

の一部として提供されるツールを使用してアカウントを作成する場合 AWS Organizations、この方法で作成するすべての新しいアカウントに存在する `OrganizationAccountAccessRole` という名前の事前設定されたロールを使用してアカウントにアクセスできます。詳細については、「[を使用して OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)」を参照してください。

既存のアカウントを組織に招待し、そのアカウントによって招待が承諾されると、招待されたメンバーアカウントへのアクセスを管理アカウントに許可する IAM ロールを作成できるようになります。このロールは、 AWS Organizationsで作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。

このロールの作成については、「[で招待されたアカウントの OrganizationAccountAccessRole を作成する AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)」を参照してください。

ロールの作成が完了したら、「[を使用して OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)」のステップを使用してアクセスできます。

------

**Topics**
+ [IAM アクセスロールを作成する](orgs_manage_accounts_create-cross-account-role.md)
+ [IAM アクセスロールの使用](orgs_manage_accounts_access-cross-account-role.md)

# で招待されたアカウントの OrganizationAccountAccessRole を作成する AWS Organizations
<a name="orgs_manage_accounts_create-cross-account-role"></a>

デフォルトでは、組織の一部としてメンバーアカウントを作成すると、そのアカウントに AWS が自動的に作成するロールにより、そのロールを引き受けることができる管理アカウントの IAM ユーザーに、管理者用のアクセス許可が付与されます。デフォルトでは、そのロールの名前は `OrganizationAccountAccessRole` です。詳細については、「[を使用して OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)」を参照してください。

しかし、組織に*招待する*メンバーアカウントに、管理者ロールが自動的に作成されることは***ありません***。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (`OrganizationAccountAccessRole`) を使用されることをお勧めします。

------
#### [ AWS マネジメントコンソール ]

**メンバーアカウントに AWS Organizations 管理者ロールを作成するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。メンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 必要があります。使用するユーザーまたはロールには、IAM ロールとポリシーを作成するアクセス許可が必要です。

1. IAM コンソールで、**[ロール]** に移動し、**[ロールの作成]** を選択します。

1. を選択し**AWS アカウント**、**別の AWS アカウント** を選択します。

1. 管理者権限を付与する管理アカウントの 12 桁のアカウント ID 番号を入力します。**[オプション]**で、次の点に注意してください。
   + このロールの場合、アカウントは会社内部で使用するため、[**Require external ID**] (外部 ID が必要) は選択**しない**でください。外部 ID オプションの詳細については、「*IAM ユーザーガイド*」の「[外部 ID が適している状況](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)」を参照してください。
   + MFA が有効化され設定されている場合は、オプションで、MFA デバイスを使用した認証を求めるように設定できます。MFA の詳細については、「*IAM ユーザーガイド*」の「[Using multi-factor authentication (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。

1. [**次へ**] を選択します。

1. **[アクセス許可を追加する]** のページで、`AdministratorAccess` という名前の AWS 管理ポリシーを選択し、**[次へ]** を選択します。

1. **[名前、確認、および作成]** ページで、ロール名とオプションの説明オプションを指定します。新しいアカウントのロールに割り当てられたデフォルト名との整合性を保つために、`OrganizationAccountAccessRole` を使用されることをお勧めします。変更をコミットするには、[**ロールの作成**] を選択します。

1. 新しいロールが、使用可能なロールのリストに表示されます。新しいロールの名前を選択して詳細を表示します。その際、表示されるリンクの URL に注意します。ロールへのアクセスが必要なメンバーアカウントのユーザーにこの URL を通知します。また、ステップ 15 で必要になる [**ロール ARN**] も書き留めます。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。今回は、ポリシーを作成し、そのポリシーをユーザーまたはグループに割り当てるアクセス許可を持つ管理アカウントのユーザーとしてサインインします。

1. **[ポリシー]** に移動し、**[ポリシーの作成]** を選択します。

1. [**Service**] で、[**STS**] を選択します。

1. [**Actions**] (アクション) で、[**Filter**] (フィルター) ボックスに「**AssumeRole**」と入力し始め、表示されたら、横のチェックボックスをオンにします。

1. **[リソース]** で、**[指定]** が選択されていることを確認して、**[ARN の追加]** を選択します。

1.  AWS メンバーアカウント ID 番号を入力し、ステップ 1～8 で以前に作成したロールの名前を入力します。[**ARN を追加**] を選択します。

1. 複数のメンバーアカウントのロールを引き受けるためのアクセス権限を付与する場合は、アカウントごとにステップ 14 と 15 を繰り返します。

1. [**次へ**] を選択します。

1. **[確認と作成]** ページで、新しいポリシーの名前を入力し、**[ポリシーの作成]** を選択し、変更を保存します。

1. ナビゲーションペインで **[ユーザーグループ]** を選択し、メンバーアカウントの管理を委任するグループの名前 (チェックボックスではない) を選択します。

1. **[アクセス許可]** タブを選択します。

1. **[アクセス許可を追加する]** を選択し、**[ポリシーのアタッチ]** を選択し、次に、ステップ 11～18 で作成したポリシーを選択します。

------

選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URL より、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「[を使用して OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)」を参照してください。

# を使用して OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations
<a name="orgs_manage_accounts_access-cross-account-role"></a>

 AWS Organizations コンソールを使用してメンバーアカウントを作成すると、 はアカウント`OrganizationAccountAccessRole`内に という名前の IAM ロール AWS Organizations *を自動的に*作成します。このロールには、メンバーアカウントの完全な管理権限が含まれます。このロールのアクセスの範囲には、管理アカウント内のすべてのプリンシパルが含まれます。これにより、ロールは組織の管理アカウントにそのアクセスを許可するように構成されます。

招待されたメンバーアカウントと同一のロールを作成するには、「[で招待されたアカウントの OrganizationAccountAccessRole を作成する AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)」のステップを実行します。

このロールを使用してメンバーアカウントにアクセスするには、ロールを引き受けるアクセス許可を持つ管理アカウントのユーザーでサインインする必要があります。このアクセス権限を設定するには、次の手順を行います。メンテナンスしやすいように、アクセス権限は、ユーザーではなくグループに付与することをお勧めします。

------
#### [ AWS マネジメントコンソール ]

**管理アカウントの IAM グループのメンバーにアクセス許可を付与して、ロールにアクセスするには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) に管理者用のアクセス許可を持つ管理アカウントのユーザーとしてサインインします。これは、メンバーアカウントのロールにアクセスするユーザーが属する IAM グループにアクセス許可を委任するために必要です。

1. <a name="step-create-policy"></a>まず、後で必要になる管理ポリシーを [Step 14](#step-choose-group) で作成します。

   ナビゲーションペインで、[**Policies (ポリシー)**] を選択し、[**Create Policy (ポリシーの作成)**] を選択します。

1. [ビジュアルエディタ] タブで、**[サービスの選択]** を選択し、検索ボックスに「**STS**」と入力してリストをフィルタリングし、**[STS]** オプションを選択します。

1. **[アクション]** セクションで、検索ボックスに「**assume**」と入力してリストをフィルタリングし、**[AssumeRole]** オプションを選択します。

1. **[リソース]** セクションで、**[特定の]** を選択し、**[ARN を追加]** を選択します。

1. **[ARN を指定 (複数可)]** セクションで、リソースの **[その他のアカウント]** を選択します。

1. 作成したメンバーアカウントの ID を入力します。

1. **[パス を持つリソースロール名]** には、前のセクションで作成したロールの名前を入力します (`OrganizationAccountAccessRole` という名前を付けることをお勧めします)。

1. ダイアログボックスに正しい ARN が表示されたら、**[ARN を追加]** を選択します。

1. (オプション) 多要素認証 (MFA) が必要な場合や、指定された IP アドレス範囲からロールへのアクセスを制限する場合、[リクエスト条件] セクションを展開し、適用するオプションを選択します。

1. [**次へ**] を選択します。

1. **[確認と作成]** ページで、新しいポリシーの名前を入力します。例: **GrantAccessToOrganizationAccountAccessRole**。オプションとして説明を追加することもできます。

1. <a name="step-end-policy"></a>[**ポリシーの作成**] を選択してポリシーを保存します。

1. <a name="step-choose-group"></a>ポリシーが使用可能になったので、グループにアタッチできます。

   ナビゲーションペインで、**[ユーザーグループ]** を選択してから、メンバーアカウントのロールを引き受けるメンバーが属するグループの名前 (チェックボックスではない) を選択します。必要に応じて、新しいグループを作成できます。

1. **[アクセス許可]** タブを選択し、**[アクセス許可の追加]** を選択してから、**[ポリシーの添付]** を選択します。

1. (オプション) [**検索**] ボックスに、ポリシー名を入力し始めると、「[Step 2](#step-create-policy)」から「[Step 13](#step-end-policy)」で作成したポリシーの名前が表示されるまで、リストをフィルタリングできます。**[ポリシータイプ]**、**[カスタマー管理ポリシー]** の順に選択すると、すべての AWS 管理ポリシーをフィルタリングできます。

1. ポリシーの横にあるチェックボックスをオンにし、**[ポリシーのアタッチ]** を選択します。

------

グループのメンバーである IAM ユーザーは、次の手順を使用して AWS Organizations コンソールで新しいロールに切り替えるアクセス許可を持つようになりました。

------
#### [ AWS マネジメントコンソール ]

**メンバーのアカウントのロールに切り替えるには**

ロールを使用する際、ユーザーは、新しいメンバーアカウントの管理者権限が付与されます。グループのメンバーである IAM ユーザーに、以下を実行して新しいロールに切り替えるように指示します。

1.  AWS Organizations コンソールの右上隅から、現在のサインイン名を含むリンクを選択し、**ロールの切り替え**を選択します。

1. 管理者から提供されたアカウント ID 番号とロール名を入力します。

1. [**表示名**] で、ロール使用時にユーザー名の代わりに右上隅のナビゲーションバーに表示する文字列を入力します。オプションで色を選択することもできます。

1. [**Switch Role**] (ロールの切り替え) を選択します。これで、実行するアクションはすべて、切り替えたロールに付与されているアクセス権限で行われるようになりました。切り替えを戻さない限り、元の IAM ユーザーに関連付けられているアクセス許可を使用することはできません。

1. ロールのアクセス許可を必要とするアクションの実行が完了したら、通常の IAM ユーザーにもう一度切り替えることができます。右上隅のロール名 ([**表示名**] として指定した名前) を選択して、[***ユーザー名* に戻る**] を選択します。

------

# を使用して組織のメンバーアカウントを閉鎖する AWS Organizations
<a name="orgs_manage_accounts_close"></a>

組織に不要になったメンバーアカウントがある場合は、このトピックの手順に従って、[AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)からそのアカウントを閉鎖することができます。組織が[すべての機能](orgs_getting-started_concepts.md#feature-set-all)モードの場合にのみ、 AWS Organizations コンソールを使用してメンバーアカウントを閉鎖できます。

ルートユーザーとしてサインイン AWS マネジメントコンソール した後、 の[**アカウント**ページ](https://console.aws.amazon.com/billing/home#/account) AWS アカウント から直接 を閉じることもできます。ステップバイステップの手順については、「*AWS Account Management Guide*」の「[Close an AWS アカウント](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html)」を参照してください。

管理アカウントを閉鎖するには、「[組織の管理カウントの閉鎖](orgs_manage_accounts_close_management.md)」を参照してください。

## メンバーアカウントの閉鎖
<a name="orgs_account_close_proc"></a>

組織の管理アカウントにサインインすると、組織に属しているメンバーアカウントを閉鎖できます。そのためには、以下の手順を完了します。

**重要**  
メンバーアカウントを閉鎖する前に、考慮事項を確認し、アカウントを閉鎖した場合の影響を理解しておくことを強くお勧めします。詳細については、「*AWS Account Management Guide*」の「[What you need to know before closing your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#close-account-considerations)」と「[What to expect after you close your account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)」を参照してください。

------
#### [ AWS Management Console ]

**AWS Organizations コンソールからメンバーアカウントを閉じるには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2) にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、ルートユーザーとしてサインインする ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 必要があります。

1. **[[]AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページで、閉鎖するメンバーアカウント名を探し、選択します。OU の階層を移動するか、OU 構造のないアカウントのフラットリストを表示できます。

1. ページの上部のアカウント名の横にある **[Close]** (閉じる) をクリックします。このオプションは、 AWS 組織が[すべての機能](orgs_getting-started_concepts.md#feature-set-all)モードの場合にのみ使用できます。
**注記**  
組織が[一括請求](orgs_getting-started_concepts.md#feature-set-cb-only)モードを使用している場合、コンソールに **[閉じる]** ボタンは表示されません。一括請求モードでアカウントを閉鎖するには、ルートユーザーとして閉鎖するアカウントにサインインします。**[アカウント]** ページで、**[アカウントの閉鎖]** ボタンを選択し、アカウント ID を入力し、**[アカウントの閉鎖]**ボタンを選択します。

1. アカウント閉鎖ガイダンスを読んで、理解していることを確認します。

1. メンバーアカウント ID を入力し、**[アカウントの閉鎖]** をクリックします。

**注記**  
閉じたメンバーアカウントは、元の終了日から最大 90 日間、 AWS Organizations コンソールのアカウント名の横に `CLOSED` ラベルがに表示されます。90 日後、メンバーアカウントは完全に閉鎖され、 AWS Organizations コンソールに表示されなくなります。アカウントは、永続的な閉鎖後に組織から削除されるまでに数日かかる場合があります。

**アカウントページからメンバーアカウントを閉じるには**

必要に応じて、 のアカウントページから直接 AWS メンバー**アカウント**を閉鎖できます AWS マネジメントコンソール。ステップバイステップのガイダンスについては、「*AWS Account Management Guide*」の「[Close an AWS アカウント](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html)」の指示に従ってください。

------
#### [ AWS CLI & AWS SDKs ]

**を閉じるには AWS アカウント**  
次のいずれかのコマンドを使用して AWS アカウントを閉鎖できます。
+ AWS CLI: [close-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/close-account.html)

  ```
  $ aws organizations close-account \
      --account-id 123456789012
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS SDKs: [CloseAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html)

------

# によるメンバーアカウントの閉鎖からの保護 AWS Organizations
<a name="orgs_account_close_policy"></a>

メンバーアカウントが誤って閉鎖されないように保護するには、IAM ポリシーを作成して、閉鎖されないようにするアカウントを指定します。このポリシーは、保護されたメンバーアカウントの閉鎖を防止します。

次のいずれかの方法を使用して、アカウント閉鎖を拒否する IAM ポリシーを作成します。
+ ARN を使用して、ポリシーの `Resource` 要素内の保護されたアカウントを明示的に一覧表示します。
+ 個々のアカウントにタグを付け、`aws:ResourceTag` グローバル条件キーを使用して、タグ付けされたアカウントが閉鎖されないようにします。

**注記**  
サービスコントロールポリシーは、管理アカウントの IAM プリンシパルには影響しません。

## メンバーアカウントが閉鎖されないようにする IAM ポリシーの例
<a name="orgs_close_account_policy_examples"></a>

次のコード例では、メンバーアカウントがアカウントを閉鎖するのを制限するために使用できる方法を 2 つ紹介します。

------
#### [ Prevent member accounts with tags from getting closed  ]

管理アカウントの ID に次のポリシーをアタッチできます。このポリシーにより、管理アカウントのプリンシパルは、`aws:ResourceTag` タググローバル条件キー、`AccountType` キー、および `Critical` タグ値がタグ付けされているメンバーアカウントを閉鎖できなくなります。

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccountForTaggedAccts",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"aws:ResourceTag/AccountType": "Critical"}
            }
        }
    ]
}
```

------
#### [ Prevent member accounts listed in this policy from getting closed ]

管理アカウントの ID に次のポリシーをアタッチできます。このポリシーにより、管理アカウントのプリンシパルは、`Resource` エレメントで明示的に指定されたメンバーアカウントを閉鎖できなくなります。

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PreventCloseAccount",
            "Effect": "Deny",
            "Action": "organizations:CloseAccount",
            "Resource": [
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789012",
                "arn:aws:organizations::555555555555:account/o-12345abcdef/123456789014"
            ]
        }
    ]
}
```

------

# を使用して組織からメンバーアカウントを削除する AWS Organizations
<a name="orgs_manage_accounts_remove"></a>

 メンバーアカウントを削除してもアカウントは閉鎖されません。そのメンバーアカウントは組織から削除されます。以前のメンバーアカウント AWS アカウント は、 によって管理されなくなったスタンドアロンアカウントになります AWS Organizations。

その後、そのアカウントにはポリシーが適用されなくなり、請求書の支払いはそのアカウントの責任となります。アカウントが組織から削除された後は、そのアカウントで発生した費用については、組織の管理アカウントには請求されなくなります。

## 考慮事項
<a name="orgs_manage_account-before-remove"></a>

**管理アカウントによって作成された IAM アクセスロールは自動的に削除されません**

メンバーアカウントを組織から削除しても、組織の管理アカウントによるアクセスを有効にするために作成された IAM ロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、その IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、「*IAM ユーザーガイド*」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」を参照してください。

**アカウントがスタンドアロンアカウントとして機能するために必要な情報を持っている場合に限り、組織からアカウントを削除できる**

アカウントがスタンドアロンアカウントとして動作するために必要な情報を持っている場合に限り、組織からアカウントを削除できます。 AWS Organizations コンソール、API、または AWS CLI コマンドを使用して組織内にアカウントを作成する場合、スタンドアロンアカウントに必要なすべての情報は自動的に収集*されません*。

スタンドアロンにするアカウントごとに、サポートプランを選択し、必要な連絡先情報を指定して検証し、現在の支払い方法を指定する必要があります。 は、アカウントが組織にアタッチされていない間に発生した請求対象 ( AWS 無料利用枠ではない) AWS アクティビティに対して、支払い方法 AWS を使用して課金します。この情報がないアカウントを削除するには、「[を使用してメンバーアカウントから組織を離れる AWS Organizations](orgs_manage_accounts_leave-as-member.md)」の手順に従ってください。

**アカウントが作成されてから少なくとも 4 日間待つ必要があります**

組織内に作成したアカウントを削除するには、アカウントが作成されてから 4 日以上が経過している必要があります。招待されたアカウントの場合には、7 日間待つ必要はありません。

**退出するアカウントの所有者が、発生したすべての新しいコストを負担する**

アカウントが組織を正常に離れた時点で、 の所有者 AWS アカウント は発生したすべての新しい AWS コストの負担となり、アカウントの支払い方法が使用されます。そのとき以降、組織の管理アカウントが責任を負うことはありません。

**アカウントは、組織で有効になっている AWS サービスの委任管理者アカウントにすることはできません**

削除するアカウントは、組織で有効になっている AWS サービスの委任管理者アカウントであってはなりません。アカウントが代理管理者である場合は、まずその代理管理者アカウントを組織に残る別のアカウントに変更する必要があります。 AWS サービスの委任管理者アカウントを無効化または変更する方法の詳細については、そのサービスのドキュメントを参照してください。

**アカウントがコストと使用状況データにアクセスできなくなる**

メンバーアカウントが組織を離れると、そのアカウントは組織のメンバーであったときのコストと使用状況のデータにアクセスできなくなります。ただし、組織の管理アカウントは引き続きデータにアクセスできます。再度組織に加わった場合、アカウントは再びデータにアクセスできます。

**アカウントにアタッチされたタグは削除される**

メンバーアカウントが組織を離れると、そのアカウントにアタッチされていたタグはすべて削除されます。

**アカウントのプリンシパルは組織のポリシーの影響を受けなくなる**

アカウントのプリンシパルは組織で適用されていた[ポリシー](orgs_manage_policies.md)の影響を受けなくなります。つまり、SCP によって課せられていた制限がなくなり、そのアカウントのユーザーとロールに以前より多くのアクセス許可が付与される可能性があります。その他の組織ポリシータイプが適用または処理されることはなくなります。

**アカウントは組織契約の対象ではない**

メンバーアカウントが組織から削除されると、そのメンバーアカウントは組織契約の対象範囲ではなくなります。管理アカウントの管理者は、メンバーアカウントが必要に応じて新しい契約を用意できるよう、メンバーアカウントを組織から削除する前に、そのことをメンバーアカウントに通達するべきです。アクティブな組織契約のリストは、[AWS Artifact 組織契約](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements)ページの AWS Artifact コンソールで表示できます。

**他のサービスとの統合が無効になる場合がある**

他のサービスとの統合が無効になる場合があります。 AWS サービスとの統合が有効になっている組織からアカウントを削除すると、そのアカウントのユーザーはそのサービスを使用できなくなります。

## 組織からメンバーアカウントを削除する
<a name="orgs_manage_accounts_remove-member-account"></a>

組織の管理アカウントにサインインすると、不要になったメンバーアカウントを組織から削除できます。これを行うには、以下の手順を完了します。この手順はメンバーアカウントのみに適用されます。管理アカウントを削除するには、[組織を削除](orgs_manage_org_delete.md)する必要があります。

**最小アクセス許可**  
組織から 1 つ以上のメンバーアカウントを削除するには、次の許可がある管理アカウントのユーザーまたはロールとしてサインインする必要があります。  
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
`organizations:RemoveAccountFromOrganization` 
ステップ 5 でメンバーアカウントのユーザーまたはロールとしてサインインを選択した場合、そのユーザーまたはロールには次の許可が必要となります。  
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要です。
`organizations:LeaveOrganization` - 組織の管理者は、このアクセス許可を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。
IAM ユーザーとしてサインインし、アカウントに支払い情報がない場合、そのユーザーには `aws-portal:ModifyBilling` 許可と `aws-portal:ModifyPaymentMethods` 許可 (アカウントがきめ細かな許可に移行されていない場合)、または `payments:CreatePaymentInstrument` 許可と `payments:UpdatePaymentPreferences` 許可 (アカウントがきめ細かな許可に移行されている場合) のどちらか一方が必要になります。また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、AWS Billing ユーザーガイドの [Billing and Cost Management コンソールへのアクセスを有効にする](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)を参照してください。

------
#### [ AWS マネジメントコンソール ]

**組織からメンバーアカウントを削除するには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。

1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページで、組織から削除するメンバーアカウントを探し、その横にあるチェックボックス ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/checkbox-selected.png) をオンにします。OU 階層を移動するか、**表示 AWS アカウント のみ**を有効にして、OU 構造のないアカウントのフラットリストを表示できます。アカウントが多い場合、削除対象をすべて見つけるにはリスト下部の [**Load more accounts in '*ou-name*'**] ('ou-name' のアカウントをさらに読み込む) を選択する必要がある場合があります。

   **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページで、組織から削除するメンバーアカウントの名前を探し、選択します。場合によっては、目的のアカウントを見つけるには OU を展開 (![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/console-expand.png) を選択) する必要があります。

1. [**Actions**] (アクション) を選択し、[**AWS アカウント**] で [**Remove from organization**] (組織から削除する) を選択します。

1. [**Remove account '*account-name*' (\$1*account-id-num*) from organization?**] (アカウント 'account-name' (\$1account-id-num) を組織から削除しますか?) ダイアログボックスで、[**Remove account**] (アカウントを削除する) を選択します。

1. が 1 つ以上のアカウントを削除 AWS Organizations できなかったのは、通常、アカウントがスタンドアロンアカウントとして動作するために必要なすべての情報を提供していないためです。以下のステップを実行します。

   1. 失敗したアカウントにサインインします。メンバーアカウントには、[**Copy link**] を選択してから、新しい incognito ブラウザウィンドウのアドレスバーに貼り付けてサインインすることをお勧めします。**[リンクのコピー]** が表示されない場合は、「[このリンク](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)」を使用して **[ AWSにサインアップ]** ページに移動し、不足している登録ステップを完了します。シークレットウィンドウを使用しない場合は、管理アカウントからサインアウトされ、このダイアログボックスに戻ることができなくなります。

   1. ブラウザを使用すると、このアカウントで実行していなかったステップを完了するためのサインアッププロセスが直接表示されます。示されたすべてのステップを実行します。これには次のものが含まれます。
      + 連絡先情報を指定する
      + 有効な支払い方法の指定
      + 電話番号を検証する
      + サポートプランオプションを選択する

   1. 最後のサインアップステップを完了すると、 AWS は自動的にブラウザをメンバーアカウントの AWS Organizations コンソールにリダイレクトします。[**Leave organization**] を選択し、確認ダイアログボックスで、その選択を確認します。 AWS Organizations コンソールの [**Getting Started**] ページにリダイレクトされます。そこで、招待が保留中のアカウントを表示して、他の組織に参加することができます。

   1. アカウントへのアクセスを付与する IAM ロールを組織から削除します。
**重要**  
組織で作成されたアカウントの場合、組織の管理アカウントによるアクセスを有効にするための IAM ロールが、Organizations によってアカウントに自動的に作成されています。招待されたアカウントの場合、Organizations によってこのようなロールが自動で作成されることはありませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、「*IAM ユーザーガイド*」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」を参照してください。

------
#### [ AWS CLI & AWS SDKs ]

**組織からメンバーアカウントを削除するには**  
メンバーアカウントを作成するには、次のいずれかのコマンドを使用します。
+ AWS CLI: [remove-account-from-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html)

  ```
  $ aws organizations remove-account-from-organization \
      --account-id 123456789012
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS SDKs: [RemoveAccountFromOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RemoveAccountFromOrganization.html)

メンバーアカウントが組織から削除されたら、アカウントへのアクセスを付与する IAM ロールを組織から削除します。

**重要**  
組織で作成されたアカウントの場合、組織の管理アカウントによるアクセスを有効にするための IAM ロールが、Organizations によってアカウントに自動的に作成されています。招待されたアカウントの場合、Organizations によってこのようなロールが自動で作成されることはありませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、「*IAM ユーザーガイド*」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」を参照してください。

メンバーアカウントは、代わりに [Leave-Organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html) を使用して自身のアカウントを削除することができます。詳細については、「[を使用してメンバーアカウントから組織を離れる AWS Organizations](orgs_manage_accounts_leave-as-member.md)」を参照してください。

------

# を使用してメンバーアカウントから組織を離れる AWS Organizations
<a name="orgs_manage_accounts_leave-as-member"></a>

メンバーアカウントにサインインすると、組織を離れることができます。管理アカウントは、この方法で組織を離れることはできません。管理アカウントを削除するには、[組織を削除](orgs_manage_org_delete.md)する必要があります。

## 考慮事項
<a name="orgs_manage_accounts_leave-as-member-considerations"></a>

**組織に対するアカウントのステータスは、表示できるコストと使用状況のデータに影響する**

アカウントは、組織のメンバーシップの変更に関係なく、アカウントに配信された過去のすべての請求書と、アカウントによって生成されたすべての請求データへのアクセスを維持します。ただし、Cost Explorer のデータ可視性は、現在の組織メンバーシップに関連付けられています。次の表は、3 つの一般的なアカウント移行がデータの可視性にどのように影響するかを示しています。


****  

|  | 請求書の可用性 | 請求書の可用性 (請求書ページなど) | Cost Explorer の可用性 | 
| --- | --- | --- | --- | 
| シナリオ 1メンバーアカウントが organizationA を離れ、スタンドアロンアカウントになる | アカウントは、配信されたすべての過去の請求書へのアクセスを維持します。 | アカウントは、 organizationA のメンバーとして生成したすべての履歴請求データへのアクセスを維持します。 | アカウントは、 organizationA のメンバーとして生成した過去のコストと使用状況データにアクセスできなくなります。 | 
| シナリオ 2メンバーアカウントが organizationA を離れ organizationB に参加する | アカウントは、配信されたすべての過去の請求書へのアクセスを維持します。 | アカウントは、 organizationA のメンバーとして生成したすべての履歴請求データへのアクセスを維持します。 | アカウントは、 organizationA のメンバーとして生成した過去のコストと使用状況データにアクセスできなくなります。 | 
| シナリオ 3アカウントが以前に属していた組織に再参加する | アカウントは、配信されたすべての過去の請求書へのアクセスを維持します。 | アカウントは、生成したすべての履歴請求データへのアクセスを維持します (スタンドアロンアカウントとして生成されたか、別の組織のメンバーとして生成されたかにかかわらず）。 | アカウントは、組織のメンバーであった全期間にわたってコストと使用状況データへのアクセスを回復しますが、現在の組織外で生成されたすべての過去のコストと使用状況にはアクセスできなくなります。 | 

**アカウントは、そのアカウントに代わって承諾された組織契約の対象ではなくなる**

組織を離れると、メンバーアカウントを代表して組織の管理アカウントによって受諾されていた組織契約は適用されなくなります。これらの組織契約のリストは、[AWS Artifact 組織契約](https://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements)ページの AWS Artifact コンソールで表示できます。組織を離れる前に、(必要に応じて、法務、プライバシー、またはコンプライアンスチームの支援を得て) 新しい契約を結ぶ必要があるかどうか判断してください。

**アカウントのクォータ制限が変更され、影響が生じる可能性がある**

組織をメンバーアカウントとして残すと、そのアカウントで使用できるサービスクォータ制限に影響する可能性があります。より高い制限を必要とする自動ワークロードがある場合は、組織を離れた後にサービスクォータコンソールでクォータを再確認して、中断のないエクスペリエンスを確保してください。組織を離れた後、 [AWS サポート センター](https://console.aws.amazon.com/support/home#/)に連絡してサポートを依頼してください。

## メンバーアカウントから組織を脱会する
<a name="orgs_manage_accounts_leave-as-member-steps"></a>

組織を脱会する、次の手順を実行します。

**最小アクセス許可**  
組織を登録解除する場合は、次のアクセス権限が必要です:  
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要です。
`organizations:LeaveOrganization` - 組織の管理者は、このアクセス許可を削除するポリシーをアカウントに適用し、組織からアカウントを削除することを禁止できます。
IAM ユーザーとしてサインインし、アカウントに支払い情報がない場合、そのユーザーには `aws-portal:ModifyBilling` 許可と `aws-portal:ModifyPaymentMethods` 許可 (アカウントがきめ細かな許可に移行されていない場合)、または `payments:CreatePaymentInstrument` 許可と `payments:UpdatePaymentPreferences` 許可 (アカウントがきめ細かな許可に移行されている場合) のどちらか一方が必要になります。また、メンバーアカウントでは、請求への IAM ユーザーアクセスが有効になっている必要があります。有効になっていない場合は、AWS Billing ユーザーガイドの [Billing and Cost Management コンソールへのアクセスを有効にする](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate)を参照してください。

------
#### [ AWS マネジメントコンソール ]

**メンバーアカウントから組織を退会するには**

1.  AWS Organizations コンソールで [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。メンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 必要があります。

   デフォルトでは、 を使用して作成されたメンバーアカウントのルートユーザーパスワードにアクセスすることはできません AWS Organizations。必要に応じて、[を使用して組織のメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access.md) で「**ルートユーザーの使用 (日常的なタスクには推奨されません)**」の手順に従って、ルートユーザーのパスワードを復元します。

1. **[Organizations ダッシュボード](https://console.aws.amazon.com/organizations/v2/home/dashboard)**ページで、**[この組織を離れる]** を選択します。

1. **[組織を離れることを確認する]** ダイアログボックスで、**[組織を離れる]** を選択します。プロンプトが表示されたら、アカウントの削除を確認します。確認後、 AWS Organizations コンソール**の開始方法**ページにリダイレクトされ、アカウントが他の組織に参加するための保留中の招待を表示できます。

   **[まだ組織を離れることはできません]** というメッセージが表示される場合、アカウントにはスタンドアロンアカウントとして運営するために必要なすべての情報が揃っていません。この場合は、次のステップに進みます。

1. **[組織を離れることを確認する]** ダイアログボックスに **[まだ組織を離れることはできません]** というメッセージが表示される場合、**[アカウントのサインアップステップを完了する]** というリンクを選択します。

   **[アカウントサインアップ手順の完了]** リンクが表示されない場合は、[このリンク](https://portal.aws.amazon.com/gp/aws/developer/registration/index.html?client=organizations&enforcePI=True)を使用して **[ AWSへのサインアップ]** ページに移動し、不足している登録手順を完了します。

1. **[ AWS にサインアップする]** ページで、スタンドアロンアカウントになるために必要な情報をすべて入力します。これには、以下の種類の情報が含まれる場合があります。
   + 連絡先名と住所
   + 有効な支払い方法
   + 電話番号による確認
   + サポートプランオプション

1. サインアッププロセスが完了したことを示すダイアログボックスが表示されたら、[**Leave organization**] を選択します。

   確認のダイアログボックスが表示されます。アカウントを削除するには、その選択を確認します。 AWS Organizations コンソール**の開始方法**ページにリダイレクトされ、アカウントが他の組織に参加するための保留中の招待を表示できます。

1. アカウントへのアクセスを付与する IAM ロールを組織から削除します。
**重要**  
組織で作成されたアカウントの場合、組織の管理アカウントによるアクセスを有効にするための IAM ロールが、Organizations によってアカウントに自動的に作成されています。招待されたアカウントの場合、Organizations によってこのようなロールが自動で作成されることはありませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、「*IAM ユーザーガイド*」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」を参照してください。

------
#### [ AWS CLI & AWS SDKs ]

**メンバーアカウントとして組織を離れるには**  
組織を登録解除するには、次のいずれかのコマンドを使用します。
+ AWS CLI: [leave-organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/leave-organization.html)

  次の例では、アカウントの認証情報を使用し、組織を離れるコマンドを実行しています。

  ```
  $ aws organizations leave-organization
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS SDKs: [LeaveOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_LeaveOrganization.html)

メンバーアカウントが組織を離れたら、アカウントへのアクセスを付与する IAM ロールを組織から削除します。

**重要**  
組織で作成されたアカウントの場合、組織の管理アカウントによるアクセスを有効にするための IAM ロールが、Organizations によってアカウントに自動的に作成されています。招待されたアカウントの場合、Organizations によってこのようなロールが自動で作成されることはありませんが、ご自身または別の管理者が同じメリットを得るためにロールを作成している可能性があります。いずれの場合も、組織からアカウントを削除した場合に、このようなロールは自動的に削除されません。以前の組織の管理アカウントからアクセスされないようにするには、この IAM ロールを手動で削除する必要があります。ロールを削除する方法について詳しくは、「*IAM ユーザーガイド*」の「[ロールまたはインスタンスプロファイルを削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)」を参照してください。

代わりの方法として、メンバーアカウントは、管理アカウントのユーザーが [remove-account-from-Organization](https://docs.aws.amazon.com/cli/latest/reference/organizations/remove-account-from-organization.html) を使用して削除することもできます。詳細については、「[組織からメンバーアカウントを削除する](orgs_manage_accounts_remove.md#orgs_manage_accounts_remove-member-account)」を参照してください。

------

# でメンバーアカウントのアカウント名を更新する AWS Organizations
<a name="orgs_manage_accounts_update_name"></a>

組織の管理アカウントにサインインすると、メンバーアカウントのアカウント名を更新できます。メンバーアカウント名を更新する方法については、「 *AWS アカウント管理 リファレンスガイド*」の[「組織 AWS アカウント 内の のアカウント名を更新する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs)」の手順に従います。

# を使用してメンバーアカウントのルートユーザーの E メールアドレスを更新するを更新する AWS Organizations
<a name="orgs_manage_accounts_update_primary_email"></a>

セキュリティと管理の回復力を高めるため、管理アカウントの IAM プリンシパル (必要な IAM アクセス許可を持つ) は、各アカウントに個別にサインインすることなく、メンバーアカウントのルートユーザーの E メールアドレス (プライマリ E メールアドレスとも呼ばれます) を一元的に更新できます。これにより、管理アカウント (または委任管理者アカウント) の管理者は、メンバーアカウントをより細かく制御できます。また、元のルートユーザーの E メールアドレスまたは管理者認証情報にアクセスできなくなった場合でも、 全体のメンバーアカウントのルートユーザーの E メールアドレスを最新の状態に保つ AWS Organizations ことができます。

管理アカウント管理者がルートユーザーの E メールアドレスを一元的に変更する場合、パスワードと MFA 設定の両方が変更前と同じままになります。アカウントのルートユーザーの E メールアドレスと主要連絡先の電話番号を制御できるユーザーであれば、MFA をバイパスできることに注意してください。

組織内のメンバーアカウントのルートユーザーの E メールアドレスを更新する、組織で以前に[すべての機能](orgs_getting-started_concepts.md#feature-set-all)モードが有効になっている必要があります。一括請求モードまたは組織に含まれていないアカウント AWS Organizations では、 はルートユーザーの E メールアドレスを一元的に更新できません。API でサポートされていないアカウントのルートユーザーの E メールアドレスを変更するユーザーは、引き続き Billing Console を使用してルートユーザーの E メールアドレスを管理する必要があります。

メンバーアカウントのルートユーザーの E メールアドレスアマゾン を更新する手順 step-by-step については、「 *AWS アカウント管理 リファレンスガイド*」の[「組織 AWS アカウント 内の のルートユーザーの E メール メールを更新する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user-email.html#root-user-email-orgs)」を参照してください。