翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用した組織単位 (OUsの管理 AWS Organizations
組織単位 (OU) を使用すると、アカウントをまとめてグループ化し、単一の単位として管理できます。その結果、アカウントの管理は大幅に簡略化されます。たとえば、ポリシーベースの制御を OU に付与すると、OU 内のすべてのアカウントに自動的に OU ポリシーが継承されます。OU は、1 つの組織に複数作成することができるため、その他の OU 内にも OU を作成することができます。各 OU には、複数のアカウントを含めることができるだけでなく、OU から別の OU へアカウントを移動することもできます。ただし、OU の名前は、親 OU またはルート内で一意である必要があります。
次の図は、基本的な組織を示しています。この組織は、7 つのアカウントで構成されており、そのアカウントは、ルートを親として、4 つの OU に分類されています。組織には、OU に適用されるポリシーも一部存在します。
![\[この図は、基本的な組織を示しています。この組織は、7 つのアカウントで構成されており、そのアカウントは、ルートを親として、4 つの組織単位 (OU) に分類されています。組織には、OU に適用されるポリシーも一部存在します。\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/OuExamples.png)
**注記**
組織内には 1 つのルートがあり、組織を初めてセットアップするときに AWS Organizations によって作成されます。
**Topics**
+ [OU のベストプラクティス](orgs_manage_ous_best_practices.md)
+ [ルートとツリーの操作](navigate_tree.md)
+ [OU の詳細の表示](orgs_view_ou.md)
+ [OU の作成](create_ou.md)
+ [OU の名前変更](rename_ou.md)
+ [OU のタグ付け](tag_ou.md)
+ [OU 間のアカウントの移動](move_account_to_ou.md)
+ [ルートの詳細の表示](orgs_view_root.md)
+ [OU の削除](delete-ou.md)
# で組織単位 (OUsを管理するためのベストプラクティス AWS Organizations
組織単位 (OUs) AWS Organizations を使用して でマルチアカウント環境を管理する手順については、以下の推奨事項に従ってください。
**Topics**
+ [について AWS Organizations](#ous_best_practices_intro)
+ [推奨される基本 OU](#ous_best_practices_foundational)
+ [推奨される追加の OU](#ous_best_practices_recommended)
+ [結論](#ous_best_practices_conclusion)
## について AWS Organizations
適切に設計されたマルチアカウント AWS 環境の基盤は です。これにより AWS Organizations、複数のアカウントを一元的に管理できます。組織単位 (OU) は、組織内のアカウントの論理的なグループ化です。OU を使用すると、アカウントを階層に整理し、管理コントロールを適用できます。Organizations [ポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)は、グループに適用できるコントロールを定義します AWS アカウント。たとえば、[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) は、組織内のアカウントが実行できる Amazon EC2 Run Instance などの AWS のサービス アクションを定義するポリシーです。
1 つのアカウントで AWS ジャーニーを開始する場合がありますが、 では、ワークロードのサイズと複雑さが大きくなるにつれて、複数のアカウントを設定する AWS ことをお勧めします。マルチアカウント環境を使用することは、いくつかの利点をもたらす AWS ベストプラクティスです。
+ **さまざまな要件を伴う迅速なイノベーション**: 社内のさまざまなチーム、プロジェクト、製品 AWS アカウント に を割り当てて、それぞれのセキュリティ要件を考慮しながら、各チームを迅速にイノベーションさせることができます。
+ **請求の簡素化**: 複数の を使用すると AWS アカウント 、 AWS 料金を負担する製品やサービスのラインを特定できるため、 AWS コストの割り当て方法を簡素化できます。
+ **柔軟なセキュリティコントロール**: 複数の を使用して AWS アカウント 、特定のセキュリティ要件を持つワークロードやアプリケーションを分離したり、HIPAA や PCI などのコンプライアンスの厳格なガイドラインを満たす必要があります。
+ **ビジネスプロセスへの適応**: 運用 AWS アカウント 要件、規制要件、予算要件が異なる会社のビジネスプロセスの多様なニーズを最もよく反映した方法で複数の を整理できます。
## 推奨される基本組織単位 (OU)
組織単位 (OU) は、会社のレポート構造をミラーリングするのではなく、関数または一般的な一連のコントロールに基づいている必要があります。 AWS では、セキュリティとインフラストラクチャを念頭に置いて開始することをお勧めします。ほとんどのビジネスには、これらのニーズに応じて組織全体に対応する一元化されたチームがあります。これらの特定の機能のために、一連の基礎的な OU を作成することをお勧めします。
+ **セキュリティ**: セキュリティサービスに使用されます。ログアーカイブ、セキュリティ読み取り専用アクセス、セキュリティツール、ブレークグラスのアカウントを作成します。
+ **インフラストラクチャ**: ネットワークや IT サービスなどの共有インフラストラクチャサービスに使用されます。必要なインフラストラクチャサービスのタイプごとにアカウントを作成します。
ほとんどの企業では、本番稼働ワークロードのポリシー要件が異なるため、インフラストラクチャとセキュリティには、*非本番*稼働 (SDLC) と*本番稼働* (Prod) 用のネストされた OU がある可能性があります。SDLC OU のアカウントは非本番ワークロードをホストし、他のアカウントからの本番依存関係があってはなりません。ライフサイクルステージ間で OU ポリシーにばらつきがある場合、SDLC は複数の OU (開発や事前生産など) に分割できます。Prod OU のアカウントは、本番ワークロードをホストします。
OU レベルでポリシーを適用して、要件に従って Prod 環境と SDLC 環境を管理します。一般に、ポリシー管理と潜在的なトラブルシューティングを簡素化するため、OU レベルでポリシーを適用する方が、個々のアカウントレベルよりも実践的です。
次の図は、セキュリティとインフラストラクチャの基本的な OU (Prod と SDLC) を示しています。
![\[このイメージは、セキュリティとインフラストラクチャの基礎 OU (Prod と SDLC) を表示します。\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/foundational-OUs.png)
## 推奨される追加の組織単位 (OU)
中央サービスが導入されたら、製品やサービスの構築または実行に直接関連する OU を作成することをお勧めします。多くの AWS お客様は、基盤を確立した後に次の OUs を構築します。
+ **サンドボックス**: 個々のデベロッパー AWS アカウント が実験に使用できるものを保持します AWS のサービス。これらのアカウントを内部ネットワークからデタッチできることを確認します。
+ **ワークロード**: 外部向けアプリケーションサービスをホスト AWS アカウント する が含まれます。本番環境ワークロードを分離して厳密に制御するには、SDLC および Prod 環境 (基盤 OU に似ています) の下に OU を構成する必要があります。
また、特定のニーズに応じて、メンテナンスと継続的な拡張のために OU を追加することをお勧めします。以下は、既存の AWS お客様のプラクティスに基づく一般的なテーマです。
+ **ポリシーステージング**: 提案されたポリシー変更を組織全体に適用する前にテストできる AWS アカウントを保持します。まず、目的の OU のアカウントレベルで変更を実装し、他のアカウント、OU、および組織全体で徐々に作業します。
+ **停止: **閉じ AWS アカウント られ、組織から削除されるのを待っている が含まれます。すべてのアクションを拒否する SCP をこの OU にアタッチします。アカウントを復元する必要がある場合は、トレーサビリティの詳細がタグ付けされていることを確認してください。
+ **個々のビジネスユーザー**: ビジネス生産性関連のアプリケーションを作成する必要があるビジネスユーザー (デベロッパーではない) AWS アカウント 向けの を含む制限付きアクセス OU。たとえば、レポートやファイルをパートナーと共有するための S3 バケットを設定します。
+ **例外**: ワークロード OU で定義されているものとは異なる、高度にカスタマイズされたセキュリティ要件または監査要件を持つビジネスユースケース AWS アカウント に使用されるホールド。たとえば、機密の新しいアプリケーションまたは機能用に AWS アカウント を特別にセットアップします。カスタマイズされたニーズを満たすために、アカウントレベルで SCP を使用します。[Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) と [AWS Config ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)を使用して、Detect and React システムを設定することを検討してください。
+ **デプロイ**: 継続的インテグレーションと継続的デリバリー/デプロイ (CI/CD デプロイ) AWS アカウント を目的としています。この OU は、ワークロード OU (Prod および SDLC) のアカウントとは異なる CI/CD デプロイのガバナンスモデルと運用モデルがある場合に作成できます。CI/CD の配布は、中央チームが運用する共有 CI/CD 環境への組織的な依存を減らすのに役立ちます。ワークロード OU 内の AWS アカウント アプリケーションの SDLC/Prod のセットごとに、デプロイ OU で CI/CD のアカウントを作成します。
+ **移行**: これは、既存のアカウントとワークロードを組織の標準エリアに移動する前の、一時的な保持エリアとして使用されます。これは、アカウントが取得の一部であり、以前はサードパーティーによって管理されていたか、古い組織構造のレガシーアカウントが原因である可能性があります。
次の図は、サンドボックス、ワークロード、ポリシーステージング、一時停止、個々のビジネスユーザー、例外、デプロイ、移行アカウントの追加の OU を示しています。
![\[このイメージには、サンドボックス、ワークロード、ポリシーステージング、一時停止、個々のビジネスユーザー、例外、デプロイ、移行アカウントの追加の OU が表示されます。\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/additional-OUs.png)
## 結論
適切に設計されたマルチアカウント戦略は、セキュリティとスケーラビリティのニーズを満たすのに役立つと同時に AWS、イノベーションにも役立ちます。このトピックで説明するフレームワークは、 AWS ジャーニーの開始点として使用する AWS べきベストプラクティスを示しています。
次の図は、推奨される基本 OU と追加の OU を示しています。
![\[このイメージには、推奨される基本 OU と追加の OU が表示されます。\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/recommended-OUs.png)
# を使用したルートおよび組織単位 (OU) 階層のナビゲーション AWS Organizations
アカウントの移動またはポリシーのアタッチの際に、別の OU またはルートに移動するには、デフォルトの「ツリー」ビューを使用します。
------
#### [ AWS マネジメントコンソール ]
**「ツリー」ビューで組織内を移動するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする[推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)必要があります。
1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)**ページの [**Organization**] (組織) セクションの上部で [**List**] (リスト) ではなく、[**Hierarchy**] (階層) を選択します。
1. 初期状態のツリーにはルートと、階層の最初の子 OU およびアカウントのみが表示されます。ツリーを展開してより深い階層を表示するには、親エンティティの横にある展開アイコン (![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/console-expand.png)) を選択します。表示をシンプルにするためにツリーのブランチを折りたたむには、展開された親エンティティの横にある折りたたみアイコン (![\[Downward-pointing gray triangle icon, commonly used to indicate dropdown menus.\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/console-collapse.png)) を選択します。
1. 詳細の確認や、特定の操作を行うには、OU またはルートの名前を選択します。または、名前の横にあるラジオボタンを選択し、[**Actions**] (アクション) メニューからエンティティに対する特定の操作を行うこともできます。
------
組織内のアカウントのみの一覧を表形式ビューで表示することもでき、特定のアカウントを見つけるために逐一 OU に移動する必要はありません。このビューでは、OU の表示や、OU にアタッチされたポリシーの操作はできません。
------
#### [ AWS マネジメントコンソール ]
**アカウントのフラットリストとして階層なしで組織を表示するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. **「組織**」セクションの上部にある**[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)**ページで、「切り替え** AWS アカウント のみの表示**」アイコンを選択してオンにします。 ![\[Speech bubble icon representing a chat or conversation interface.\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/console-switch-on.png)
1. アカウントの一覧が階層なしで表示されます。
------
# を使用した組織単位 (OU) の詳細の表示 AWS Organizations
[AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)で組織の管理アカウントにサインインすると、組織の OU の詳細を表示できます。
**最小アクセス許可**
組織単位 (OU) の詳細を表示するには、次のアクセス権限が必要です。
`organizations:DescribeOrganizationalUnit`
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
`organizations:ListOrganizationsUnitsForParent` - Organizations コンソールを使用する場合にのみ必要
`organizations:ListRoots` - Organizations コンソールを使用する場合にのみ必要
------
#### [ AWS マネジメントコンソール ]
**OU の詳細を表示するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページで、調べたい OU の名前 (ラジオボタンではなく) を選択します。目的の OU が別の OU の子 OU である場合は、親 OU の横にある三角形のアイコンを選択して展開すると、次の階層に子 OU が表示されます。目的の OU が表示されるまで繰り返します。
[**Organizational unit details**] (組織単位の詳細) ボックスに、OU に関する情報が表示されます。
------
#### [ AWS CLI & AWS SDKs ]
**OU の詳細を表示するには**
次のいずれかのコマンドを使用して、OU の詳細を表示できます。
+ AWS CLI、 AWS SDKs:
+ [list-roots](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-roots.html)
+ [list-children](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-children.html)
+ [describe-organizational-unit](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organizational-unit.html)
次の例は、 AWS CLIを使用して OU の ID を見つける方法を示しています。OU ID を見つけるには、階層をトラバースします。はじめに `list-roots` コマンドを実行します。次に、`list-children` をまずルートで実行し、その後は子 OU で、目的の OU ID が見つかるまで繰り返し実行します。
```
$ aws organizations list-roots
{
"Roots": [
{
"Id": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"PolicyTypes": []
}
]
}
$ aws organizations list-children --parent-id r-a1b2 --child-type ORGANIZATIONAL_UNIT
{
"Children": [
{
"Id": "ou-a1b2-f6g7h111",
"Type": "ORGANIZATIONAL_UNIT"
}
]
}
```
次の例は、OU の ID を見つけた後に、OU の詳細を取得する方法を示しています。
```
$ aws organizations describe-organizational-unit --organizational-unit-id ou-a1b2-f6g7h111
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h111",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
"Name": "Production-Apps",
"Path": "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/"
}
}
```
+ AWS SDKs:
+ [ListRoots](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListRoots.html)
+ [ListChildren](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListChildren.html)
+ [DescribeOrganizationalUnit](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeOrganizationalUnit.html)
------
# を使用した組織単位 (OU) の作成 AWS Organizations
組織の管理アカウントにサインインすると、組織のルートに OU を作成できます。OU は、最大 5 レベルの深さまでネストできます。OU を作成するには、次のステップを完了します。
**重要**
この組織が で管理されている場合は AWS Control Tower、 AWS Control Tower コンソールまたは APIs を使用して OUs を作成します。Organizations で OU を作成すると、その OU は に登録されません AWS Control Tower。詳細については、*AWS Control Tower ユーザーガイド*の [AWS Control Tower外のリソースを参照する](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#ungoverned-resources)を参照してください。
**最小アクセス許可**
組織のルート内に OU を作成するには、次のアクセス権限が必要です。
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
`organizations:CreateOrganizationalUnit`
## AWS マネジメントコンソール
**OU を作成するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページに移動します。
ルート OU とその内容がコンソールに表示されます。初めてルートにアクセスするときは、コンソールの最上位のビューにすべての AWS アカウント が表示されます。以前に OU を作成してその OU にアカウントを移動している場合、コンソールには最上位の OU と、OU に移動していないアカウントのみ表示されます。
1. (オプション) 既存の OU 内に OU を作成する場合は、[子 OU に移動](navigate_tree.md)します。移動するには、子 OU の名前 (チェックボックスではなく) を選択するか、ツリービューで OU の横の ![\[Gray cloud icon with an arrow pointing downward, indicating download or cloud storage.\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/expand-icon.png) を選択して目的の OU が表示されるまで展開し、目的の子 OU の名前を選択します。
1. 階層内の正しい親 OU を選択したら、[**Actions**] (アクション) メニューの [**Organizational Unit**] (組織単位) で [**Create new**] (新規作成) を選択します。
1. [**Create organizational unit**] (組織単位の作成) ダイアログボックスで、作成する OU の名前を入力します。
1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力し、1 つ以上のタグを追加します。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つの OU に最大 50 個のタグをアタッチできます。
1. 最後に、[**Create organizational unit**] (組織単位の作成) を選択します。
親 OU 内に新しい OU が作成されます。これで、[この OU にアカウントを移動する](move_account_to_ou.md)、またはポリシーをアタッチすることができるようになりました。
## AWS CLI & AWS SDKs
**OU を作成するには**
次のサンプルコードは、`CreateOrganizationalUnit` を使用する方法を説明しています。
------
#### [ .NET ]
**SDK for .NET**
GitHub には、その他のリソースもあります。用例一覧を検索し、[AWS コード例リポジトリ](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)での設定と実行の方法を確認してください。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Creates a new organizational unit in AWS Organizations.
///
public class CreateOrganizationalUnit
{
///
/// Initializes an Organizations client object and then uses it to call
/// the CreateOrganizationalUnit method. If the call succeeds, it
/// displays information about the new organizational unit.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var orgUnitName = "ProductDevelopmentUnit";
var request = new CreateOrganizationalUnitRequest
{
Name = orgUnitName,
ParentId = "r-0000",
};
var response = await client.CreateOrganizationalUnitAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully created organizational unit: {orgUnitName}.");
Console.WriteLine($"Organizational unit {orgUnitName} Details");
Console.WriteLine($"ARN: {response.OrganizationalUnit.Arn} Id: {response.OrganizationalUnit.Id}");
}
else
{
Console.WriteLine("Could not create new organizational unit.");
}
}
}
```
+ API の詳細については、*AWS SDK for .NET API リファレンス*の「[CreateOrganizationalUnit](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/CreateOrganizationalUnit)」を参照してください。
------
#### [ CLI ]
**AWS CLI**
**ルート OU または親 OU に OU を作成するには**
次の例は、AccountingOU という名前の OU を作成する方法を示しています。
```
aws organizations create-organizational-unit --parent-id r-examplerootid111 --name AccountingOU
```
出力には、新しい OU に関する詳細を含む organizationalUnit オブジェクトが含まれます。
```
{
"OrganizationalUnit": {
"Id": "ou-examplerootid111-exampleouid111",
"Arn": "arn:aws:organizations::111111111111:ou/o-exampleorgid/ou-examplerootid111-exampleouid111",
"Name": "AccountingOU"
}
}
```
+ API の詳細については、AWS CLI コマンドリファレンスの「[CreateOrganizationalUnit](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/create-organizational-unit.html)」を参照してください。**
------
# を使用した組織単位 (OU) の名前変更 AWS Organizations
組織の管理アカウントにサインインすると、OU の名前を変更することができます。そのためには、以下の手順を完了します。
**最小アクセス許可**
組織のルート内にある OU の名前を変更するには、次のアクセス権限が必要です。
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
`organizations:UpdateOrganizationalUnit`
------
#### [ AWS マネジメントコンソール ]
**OU の名前を変更するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページで、名前を変更したい [OU に移動](navigate_tree.md)し、以下のいずれかのステップを実施します。
+ 名前を変更する OU の横にあるラジオボタン ![\[Blue circular icon with a white checkmark symbol in the center.\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/radio-button-selected.png) を選択します。次に、[**Actions**] (アクション) メニューの [**Organizational Unit**] (組織単位) で、[**Rename**] (名前の変更) を選択します。
+ OU の名前を選択し、OU の詳細ページにアクセスします。ページの上部で、[**Rename**] (名前の変更) を選択します。
1. [**Rename organizational unit**] (組織単位名の変更) ダイアログボックスで新しい名前を入力し、[**Save changes**] (変更の保存) を選択します。
------
#### [ AWS CLI & AWS SDKs ]
**OU の名前を変更するには**
OU の名前を変更するには、次のいずれかのコマンドを使用します。
+ AWS CLI: [update-organizational-unit](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-organizational-unit.html)
次の例は、OU の名前を変更する方法を示しています。
```
$ aws organizations update-organizational-unit \
--organizational-unit-id ou-a1b2-f6g7h222 \
--name "Renamed-OU"
{
"OrganizationalUnit": {
"Id": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "Renamed-OU",
"Path": "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/"
}
}
```
+ AWS SDKs: [UpdateOrganizationalUnit](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdateOrganizationalUnit.html)
------
# を使用した組織単位 (OU) のタグ付け AWS Organizations
組織の管理アカウントにサインインすると、OU にアタッチされるタグを追加または削除できます。そのためには、以下の手順を完了します。
**最小アクセス許可**
組織のルート内にある OU にアタッチされたタグを編集するには、次のアクセス許可が必要です。
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
`organizations:DescribeOrganizationalUnit` - Organizations コンソールを使用する場合にのみ必要
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS マネジメントコンソール ]
**OU にアタッチされたタグを編集するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページで、タグを編集したい [OU に移動して名前を選択](navigate_tree.md)します。
1. OU の詳細ページで、[**Tags**] (タグ) タブを選択し、[**Manage tags**] (タグ管理) を選択します。
1. このタブでは次のアクションが実行可能です。
+ 古い値に上書きして新しい値を入力し、任意のタグの値を編集します。タグキーは変更できません。キーを変更するには、古いキーを持つタグを削除し、新しいキーを持つタグを追加する必要があります。
+ 削除するタグの横にある [**Remove**] (削除) を選択し、既存のタグを削除します。
+ 新しいタグのキーと値のペアを追加します。[**Add tag**] (タグの追加) を選択し、表示されたボックスに新しいキー名とオプションの値を入力します。[**Value**] (値) ボックスを空白のままにすると、値は空の文字列に設定され、`null` にはなりません。
1. 必要な追加、削除、編集をすべて終えたら、[**Save changes**] (変更の保存) を選択します。
------
#### [ AWS CLI & AWS SDKs ]
**OU にアタッチされたタグを編集するには**
OU にアタッチされたタグを変更するには、次のいずれかのコマンドを使用します。
+ AWS CLI: [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) および [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
次の例では、タグ `"Department"="12345"` を OU にアタッチしています。`Key` と `Value` では大文字と小文字が区別されます。
```
$ aws organizations tag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tags Key=Department,Value=12345
```
このコマンドが成功した場合、出力は生成されません。
次の例では、`Department` タグを OU から削除しています。
```
$ aws organizations untag-resource \
--resource-id ou-a1b2-f6g7h222 \
--tag-keys Department
```
このコマンドが成功した場合、出力は生成されません。
+ AWS SDKs: [TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) と [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
# を使用した組織単位 (OU) またはルートと OUs 間のアカウントの移動 AWS Organizations
組織の管理アカウントにサインインすると、ルートと OU の間、または OU どうしの間で組織のアカウントを移動させることができます。OU 内にアカウントを配置すると、親 OU、およびその OU からルートまでの間にあるすべての OU にアタッチされているポリシーが適用されます。OU に属していないアカウントには、ルート、およびそのアカウントに直接アタッチされているポリシーのみが適用されます。アカウントを移動させるには、次のステップを実施します。
**最小アクセス許可**
OU 階層の新しい場所にアカウントを移動させるには、次のアクセス許可が必要です。
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
`organizations:MoveAccount`
------
#### [ AWS マネジメントコンソール ]
**アカウントを OU に移動させるには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページで、移動させるアカウントを見つけます。OU の階層内を移動するか、**[ AWS アカウント のみを表示]** をオンにして OU 構造のないフラットリストでアカウントを表示できます。アカウントが多い場合、削除対象をすべて見つけるにはリスト下部の [**Load more accounts in '*ou-name*'**] ('ou-name' のアカウントをさらに読み込む) を選択する必要がある場合があります。
1. 移動させるアカウントの名前の横にあるチェックボックス ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/checkbox-selected.png) を選択します。
1. [**Actions**] (アクション) メニューの [**AWS アカウント**] で、[**Move**] (移動) を選択します。
1. **[ AWS アカウントの移動]** ダイアログボックスで、アカウントの移動先の OU またはルートを見つけて選択し、**[ AWS アカウントの移動]** を選択します。
------
#### [ AWS CLI & AWS SDKs ]
**アカウントを OU に移動させるには**
アカウントを移動するには、次のいずれかのコマンドを使用します。
+ AWS CLI: [move-account](https://docs.aws.amazon.com/cli/latest/reference/organizations/move-account.html)
次の例では、 をルート AWS アカウント から OU に移動します。ソースコンテナと宛先コンテナの両方の ID を指定する必要があります。
```
$ aws organizations move-account \
--account-id 111122223333 \
--source-parent-id r-a1b2 \
--destination-parent-id ou-a1b2-f6g7h111
```
このコマンドが成功した場合、出力は生成されません。
+ AWS SDKs: [MoveAccount](https://docs.aws.amazon.com/organizations/latest/APIReference/API_MoveAccount.html)
------
# を使用したルートの詳細の表示 AWS Organizations
[AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)で組織の管理アカウントにサインインすると、管理ルートの詳細を表示できます。
**最小アクセス許可**
ルートの詳細を表示するには、次のアクセス許可が必要です。
`organizations:DescribeOrganization` (コンソールのみ)
`organizations:ListRoots`
ルートは、組織単位 (OU) の階層の最上位コンテナであり、通常は OU として動作します。ただし、階層の最上位にあるコンテナとして、ルートへの変更は、他のすべての OU と組織 AWS アカウント 内のすべての に影響します。
------
#### [ AWS マネジメントコンソール ]
**ルートの詳細を表示するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページに移動し、**[ルート]** OU を選択します (ラジオボタンではなく名前を選択)。
1. **ルート**の詳細ページが表示され、ルートの詳細を確認できます。
------
#### [ AWS CLI & AWS SDKs ]
**ルートの詳細を表示するには**
ルートの詳細を表示するには、次のいずれかのコマンドを使用します。
+ AWS CLI: [list-roots](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-roots.html)
次の例は、組織で現在どのポリシータイプが有効になっているかなど、ルートの詳細情報を取得する方法を示しています。
```
$ aws organizations list-roots
{
"Roots": [
{
"Id": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"PolicyTypes": [
{
"Type": "BACKUP_POLICY",
"Status": "ENABLED"
}
]
}
]
}
```
+ AWS SDKs: [ListRoots](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListRoots.html)
------
# を使用した組織単位 (OU) の削除 AWS Organizations
組織の管理アカウントにサインインすると、不要になった OU を削除できます。
子 OU を削除するには、まず OU とその子 OU 内のアカウントをすべて移動させる必要があります。
**最小アクセス許可**
OU を削除するには、次のアクセス権限が必要です。
`organizations:DescribeOrganization` - Organizations コンソールを使用する場合にのみ必要
`organizations:DeleteOrganizationalUnit`
## AWS マネジメントコンソール
**OU を削除するには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。
1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページで、削除する OU を探し、その OU 名の横にあるチェックボックス ![\[Blue checkmark icon indicating confirmation or completion of a task.\]](http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/images/checkbox-selected.png) をオンにします。
1. [**Actions**] (アクション) を選択し、[**Organizational unit**] (組織単位) で [**Delete**] (削除) を選択します。
1. その OU の削除を確定するには、OU の名前 (削除対象が 1 つだけの場合) または「delete」という文字列 (削除対象が複数ある場合) を入力してから、[**Delete**] (削除) を選択します。
AWS Organizations は OUs を削除し、リストからそれらを削除します。
## AWS CLI & AWS SDKs
**OU を削除するには**
次のサンプルコードは、`DeleteOrganizationalUnit` を使用する方法を説明しています。
------
#### [ .NET ]
**SDK for .NET**
GitHub には、その他のリソースもあります。用例一覧を検索し、[AWS コード例リポジトリ](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)での設定と実行の方法を確認してください。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Shows how to delete an existing AWS Organizations organizational unit.
///
public class DeleteOrganizationalUnit
{
///
/// Initializes the Organizations client object and calls
/// DeleteOrganizationalUnitAsync to delete the organizational unit
/// with the selected ID.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var orgUnitId = "ou-0000-00000000";
var request = new DeleteOrganizationalUnitRequest
{
OrganizationalUnitId = orgUnitId,
};
var response = await client.DeleteOrganizationalUnitAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully deleted the organizational unit with ID: {orgUnitId}.");
}
else
{
Console.WriteLine($"Could not delete the organizational unit with ID: {orgUnitId}.");
}
}
}
```
+ API の詳細については、*AWS SDK for .NET API リファレンス*の「[DeleteOrganizationalUnit](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/DeleteOrganizationalUnit)」を参照してください。
------
#### [ CLI ]
**AWS CLI**
**OU を削除するには**
次の例は、OU を削除する方法を示しています。この例では、OU からすべてのアカウントと他の OU を削除済みであることを前提としています。
```
aws organizations delete-organizational-unit --organizational-unit-id ou-examplerootid111-exampleouid111
```
+ API の詳細については、AWS CLI コマンドリファレンスの「[DeleteOrganizationalUnit](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/delete-organizational-unit.html)」を参照してください。**
------