AWS Organizationsで作成したメンバーアカウントを組織から連結解除/他組織へ移行できるようになりました

eyecatch-organizations

はじめに

こんにちは植木和樹@上越妙高オフィスです。AWS OrganizationsではこれまでAWSコンソール/API/CLIで作成したメンバーアカウントを組織から連結解除(Remove/Leave)することはできませんでした。

Organizationsの英語マニュアルを確認したところ、最近になって連結解除ができるようになっています。

※ 2017/06/23現在 日本語ドキュメントにはまだ反映されていません

Organizationでのアカウント管理

例として下記のような5つのAWSアカウントを用意しました。(A1, A2, B1, C1, C2)

20170623_Organizations_001

これまで(2017年6月上旬)

これまでの制限のポイントは2点になります。

  • Organization コンソールやCLIで作成したメンバーアカウントは組織から外すことはできない
  • 組織に参加しているアカウントは別の組織からの招待を受諾できない
対象アカウント(を) マスターアカウント(の) 組織に追加・招待する (Create/Invite) 組織から連結解除する (Remove/Leave) アカウント解約する (Cancel)
A2 A1 ×
B1 A1
C1 A1 × -(招待不可) -(招待不可)
C2 A1 × -(招待不可) -(招待不可)

つまり作成したアカウントを後日コンソリデーションから外す可能性がある場合は、これまでOrganizationsコンソールやCLIによるアカウント作成は行わず、旧来通りの方法でアカウントを作成するしかありませんでした。

これから(2017年6月中旬〜)

今回のアップデートで現在はこの制限は取り払われ、すべての操作ができるようになりました。

対象アカウント(を) マスターアカウント(の) 組織に追加・招待する (Create/Invite) 組織から連結解除する (Remove/Leave) アカウント解約する (Cancel)
A2 A1
B1 A1
C1 A1
C2 A1

作成したアカウントを組織から連結解除する方法

Organizationで作成したメンバーアカウントを組織から連結解除する方法は英語マニュアルに記載があります。

大まかな流れとしては次の通りになるようです。

(事前準備) メンバーアカウントのrootパスワードを取得(再設定)する。(後述)

  1. AWSサポートケースを起票し連結解除するアカウントIDを伝える。
  2. メンバーアカウントのrootユーザーでAWS Organizationsコンソールにログインできることを確認する。
  3. そのままブラウザで https://console.aws.amazon.com/billing/signup にアクセスする。(下記画像参照)
  4. 契約情報、支払情報、電話認証、サポートプラン入力などを完了する。またEULA(AWS カスタマーアグリーメント)への同意する。
  5. 再度AWS Organizationsコンソールを開く。
  6. "Leave organization" をクリックする
  7. ダイアログボックスで再度 "Leave organization" をクリックする。
  8. 手順1で作成したサポートケースに組織からの連結解除が成功した旨を伝えてクローズする。

20170623_Organizations_002

作成したアカウントのrootパスワードを取得する

Organizationで作成したアカウントは、rootのパスワードが自動生成されユーザーには通知されません。 rootユーザーのログイン画面で"Forgot your password?"をクリックしてパスワードを再設定すると、rootでログインできるようになります。

(補足)rootユーザーを使うことは滅多にありません。ただ「S3バケットポリシーを誤って修正してしまい再修正の権限もなくなってしまった」というケースでroot権限が必要になる場合があるので、やり方は覚えておくと良いでしょう。

アカウント操作時の注意点

アカウントの管理操作において注意点がありますので、それぞれのケースについて補足したいと思います。

A2 を A1 の組織に追加する

特に制限はありません。AWSコンソールまたはCLIで作成可能です。

20170623_Organizations_006

なお子アカウントA2から孫アカウントを作成することはできません。つまり組織自体は3段以上の階層構造を持つことはできず、マスターアカウント か メンバーアカウントのいずれかになります。

A2 を A1 の組織から連結解除する

Organizationで作成されたアカウントを組織から連結解除する方法については前述した手順を参考にしてください。

A2 を A1 の組織にある状態で解約する

A2のrootユーザーでログインすれば解約が可能です。

rootユーザーのパスワード取得方法については前述した手順を参考にしてください。

B1 を A1 の組織に追加する

B1で組織が作成されているとA1からの招待を受諾(Accept)することができません。 まずB1で組織を連結解除する必要があります。

20170623_Organizations_003

B1でOrganizationsを利用していない場合は特に制限なく、別組織の招待を受諾することができます。

B1 を A1 の組織から連結解除する

組織Aに招待されたB1を再度組織から連結解除することができます。特に制限はありません。

B1 を A1 の組織にある状態で解約する

B1のrootユーザーでログインすれば解約が可能です。

C1 を A1 の組織に追加する

組織CのマスターアカウントであるC1は、そのまま組織Aに追加することはできません。

20170623_Organizations_004

まず組織Cのメンバーアカウント(C2)を連結解除し、組織Cを削除すれば組織Aからの招待を受諾することができるようになります。

(2017年6月までは組織CからメンバーアカウントC2を連結解除することができなかったため、組織Aに参加できませんでした)

C1 を A1 の組織から連結解除する

組織Aに招待されたC1を再度組織から連結解除することができます。特に制限はありません。

メンバーアカウントが組織から連結解除されると、請求はそのメンバーアカウントに登録されたクレジットカードに請求されるようになりますのでご注意ください。

C1 を A1 の組織にある状態で解約する

C1のrootユーザーでログインすれば解約が可能です。

C2 を A1 の組織に追加する

組織CのメンバーアカウントであるC2は、そのまま組織Aに追加することはできません。

20170623_Organizations_005

まず組織Cからメンバーアカウント(C2)を連結解除すれば組織Aからの招待を受諾することができるようになります。 (2017年6月までは組織Cのメンバーアカウントを連結解除することができなかったため、組織Aに参加できませんでした)

Organizationで作成されたアカウントを組織から連結解除する方法については前述した手順を参考にしてください。

C2 を A1 の組織から連結解除する

組織Aに招待されたC2を再度組織から連結解除することができます。特に制限はありません。

メンバーアカウントが組織から連結解除されると、請求はそのメンバーアカウントに登録されたクレジットカードに請求されるようになりますのでご注意ください。

C2 を A1 の組織にある状態で解約する

C2のrootユーザーでログインすれば解約が可能です。

rootユーザーのパスワード取得方法については前述した手順を参考にしてください。

まとめ

長くなったので、ポイントを改めてまとめたいと思います。

  • アカウントは組織に参加したまま、別の組織には加われない。
  • AWS Organizationsで作成したアカウントのrootパスワードは "Forgot your password?" で取得できる。
  • AWS Organizationsで作成したアカウントを組織から連結解除(Remove/Leave)ができるようになった
  • 招待(Invite)したアカウントは組織から連結解除(Remove/Leave)できる。
  • アカウントの解約(Cancel)はrootユーザーになればOrganizationsへの参加・不参加に関わらず行なうことができる。
  • 子アカウントから孫アカウントは作成できない(マスターアカウントのみが可能)

参考ページ