使い方の種類

1️⃣ Consolidated Billing Only

• 一括請求: ✅
• アカウントの新規作成・招待: ✅
• SCP: ❌

あとからAll Featureに変えることもできる

2️⃣ All feature

• 一括請求: ✅
• アカウントの新規作成・招待: ✅
• SCP: ✅

アカウントの追加方法による違い

1️⃣ AWS Organizationsでアカウントを作成

自動的にメンバーアカウントに、管理アカウントからスイッチロールできるOrganization AccountAccessRole が作成される

2️⃣ 既存のアカウントを取り込み

管理用のIAM Roleは自動で作成されない

SCPが適用されない例外条件

• 管理アカウントのすべて
• メンバーアカウントのService-linked Role

組織レベルでのCloudTrail有効化

マネジメントコンソールからポチポチで設定可能

全アカウントの証跡が、管理アカウントの単一のS3バケットに集約される

タグポリシー

Organization内のタグ付けにルールを設ける機能
タグ自体の付与を強制する機能ではないので注意！

envタグには、dev/stg/prodのみ設定できる
のようなことができる

https://dev.classmethod.jp/articles/update-tag-policies/

メンバーアカウントの削除方法

1️⃣ Organizationsの管理対象から外して、アカウントは残す

• メンバーアカウントの請求設定
• 住所
• 支払い方法

etcの独立管理するために不可欠な情報を入力してから、削除する。

管理アカウント、メンバーアカウントのいずれからでも削除操作は行える。

2️⃣ メンバーアカウントを利用停止する

Close Account API を利用して、組織から外しつつ、AWSアカウントをクローズできる。

管理アカウントから操作可能。
コンソールからのポチポチでも操作できる。