OU 移動前の準備作業 - AWS CloudFormation StackSets 編
2025.07.07こんにちは、クラウド事業本部 コンサルティング部のいたくらです。
はじめに
AWS Organizations の OU は AWS アカウントと違って移動できないという罠(?)が存在します。
しかし諸事情により OU を移動させたいときがあると思います。
そういった場合、同一 OU 名で新しい OU を作成し、その OU に AWS アカウントを移動させるという方法があります。
ですが OU ID を使用しているサービスは OU を移動すると OU ID が変更されるため、OU 移動の際は事前準備が必要です。
今回は OU 移動前の準備作業 - AWS CloudFormation StackSets 編 を紹介します。
前提
検証環境について補足します。
- AWS Organizations > サービス にて、AWS CloudFormation StackSets が有効になっている
- StackSets を
SandboxOUとTestOUの OU ID を指定して展開済み
- ちなみに StackSets で作成しているのは
cfn-stacksets-validation-<アカウントID>というバケット名の S3 バケット- 以下は itkr_mem01 の S3 バケット一覧
- 以下は itkr_mem02 の S3 バケット一覧
- 以下は itkr_mem01 の S3 バケット一覧
- ちなみに StackSets で作成しているのは
やってみた
移動先 OU を作成する
移動先 OU となる NewTestOU と、その配下に TestOU を作成します。
新しい TestOU の OU ID をコピーします。
AWS CloudFormation StackSets の信頼されたアクセスを無効 → 再度有効にする
AWS Organizations > サービス > AWS CloudFormation StackSets に移動します。
OU 情報を再同期するために、一時的に「信頼されたアクセスを無効にする」をクリックします。
正常に無効にできたら、「信頼されたアクセスを有効にする」をクリックします。
「AWS CloudFormation StackSets コンソールを使用して信頼されたアクセスを有効にすることをお勧めします。」と表示されるので、「AWS CloudFormation StackSets コンソールに移動」をクリックします。
CloudFormation StackSets に移動し、画面上部に表示されている「信頼されたアクセスを有効にする」をクリックします。
成功すると以下のように表示されます。
AWS Organizations > サービス > AWS CloudFormation StackSets に戻ってページをリロードすると、信頼されたアクセスのステータスが「有効」となっているはずです。
StackSets を修正する
CloudFormation StackSets のページに移動し、OU ID を修正する StackSets 名をクリックします。
アクション >「StackSets にスタックを追加」をクリックします。
「新しいスタックのデプロイ」、「組織単位 (OU) へのデプロイ」をクリックし、「AWS OU ID」に先ほどコピーした OU ID をペーストします。
他の設定は元々 StackSets で設定していたものと同じ設定値を選択します。
他は更新せずにレビュー画面まで進み、内容を確認したら「送信」をクリックします。
いま実行したオペレーションのステータスが「SUCCEEDED」になっていれば OK です。
「StackSets の情報」の「組織単位 ID」を確認すると、マスクしているので分かりづらいですが、先ほど追加した OU ID が増えていることが確認できます。
AWS アカウントを移動する
AWS Organizations > AWS アカウント に移動します。
移動したいアカウントを選択し、「アクション」から「移動」をクリックします。
移動先 OU を選択し、「AWS アカウントを移動」をクリックします。
以下のようなメッセージが表示されていれば移動は完了です。
StackSets で作成したリソースは維持されているか確認する
移動したアカウント(itkr_mem01)にサインインして StackSets で作成した S3 バケットを確認します。
S3 バケットの作成日時が変わってない=リソースが維持されているということを伝えたいのですが、前提のときに提示したキャプチャと何ら変わりないので伝わっているか心配です。
CloudTrail でも確認します。
キャプチャでの S3 バケットの作成日時(2025/07/07 10:21:55 PM JST)以降、CreateBucket は実行されていません。
ちなみに DeleteBucket も、キャプチャでの S3 バケットの作成日時(2025/07/07 10:21:55 PM JST)以降は実行されていません。
(ログが表示されているのは別の検証用に作って削除したからです)
リソースが維持されていると考えて問題なさそうです。
さいごに
OU 移動前の準備作業 - AWS CloudFormation StackSets 編 の紹介でした。
実際にやってみて、OU 情報を再同期するために、CloudFormation StackSets の信頼されたアクセスを無効 → 再度有効にする操作が必要であることが分かり勉強になりました。
他にも OU ID を指定する AWS サービスは存在するので、それらの準備作業も順次紹介します。
この記事がどなたかのお役に立てれば幸いです。
![[アップデート] Aurora DSQLがTerraform AWS Provider v5.100.0でサポートされたので、デプロイしてみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-db64f1f2fda342fbdbdb6b2e336560e8/99e8f408bed87cdb4aa6bcadcaf57fc9/terraform-eyecatch.png)
![[アップデート] EKS Pod Identity で簡単にクロスアカウントの権限付与ができるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-909b0303176e85a702b92f68e9d7ecba/67a829aa0886839b83f973e123190bd0/amazon-elastic_kubernetes_service)
![[アップデート] Amazon DynamoDB Global Table がマルチリージョンの強い整合性の一般提供を開始しました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-8e5149b9e16d885e7f81fee054898d99/ff93e85e9dd30e05398e5f8175186192/amazon-dynamodb)
