developersIO
OU 移動前の準備作業 - AWS CloudFormation StackSets 編

OU 移動前の準備作業 - AWS CloudFormation StackSets 編

AWSCloudFormation StackSets
FacebookHatena blogX
2025.07.07

こんにちは、クラウド事業本部 コンサルティング部のいたくらです。

はじめに

AWS Organizations の OU は AWS アカウントと違って移動できないという罠(?)が存在します。
しかし諸事情により OU を移動させたいときがあると思います。
そういった場合、同一 OU 名で新しい OU を作成し、その OU に AWS アカウントを移動させるという方法があります。
ですが OU ID を使用しているサービスは OU を移動すると OU ID が変更されるため、OU 移動の際は事前準備が必要です。
今回は OU 移動前の準備作業 - AWS CloudFormation StackSets 編 を紹介します。

前提

検証環境について補足します。

  • AWS Organizations > サービス にて、AWS CloudFormation StackSets が有効になっている
    1-2.png
  • StackSets を SandboxOUTestOU の OU ID を指定して展開済み
    2-3.png
    • ちなみに StackSets で作成しているのは cfn-stacksets-validation-<アカウントID> というバケット名の S3 バケット
      • 以下は itkr_mem01 の S3 バケット一覧
        3.png
      • 以下は itkr_mem02 の S3 バケット一覧
        4.png

やってみた

移動先 OU を作成する

移動先 OU となる NewTestOU と、その配下に TestOU を作成します。
新しい TestOU の OU ID をコピーします。
5.png

AWS CloudFormation StackSets の信頼されたアクセスを無効 → 再度有効にする

AWS Organizations > サービス > AWS CloudFormation StackSets に移動します。
OU 情報を再同期するために、一時的に「信頼されたアクセスを無効にする」をクリックします。
10-1.png
11.png

正常に無効にできたら、「信頼されたアクセスを有効にする」をクリックします。
12.png

「AWS CloudFormation StackSets コンソールを使用して信頼されたアクセスを有効にすることをお勧めします。」と表示されるので、「AWS CloudFormation StackSets コンソールに移動」をクリックします。
13-1.png

CloudFormation StackSets に移動し、画面上部に表示されている「信頼されたアクセスを有効にする」をクリックします。
14.png

成功すると以下のように表示されます。
15.png

AWS Organizations > サービス > AWS CloudFormation StackSets に戻ってページをリロードすると、信頼されたアクセスのステータスが「有効」となっているはずです。
16.png

StackSets を修正する

CloudFormation StackSets のページに移動し、OU ID を修正する StackSets 名をクリックします。
6.png

アクション >「StackSets にスタックを追加」をクリックします。
17.png

「新しいスタックのデプロイ」、「組織単位 (OU) へのデプロイ」をクリックし、「AWS OU ID」に先ほどコピーした OU ID をペーストします。
他の設定は元々 StackSets で設定していたものと同じ設定値を選択します。
18.png

他は更新せずにレビュー画面まで進み、内容を確認したら「送信」をクリックします。
19.png

いま実行したオペレーションのステータスが「SUCCEEDED」になっていれば OK です。
20.png

「StackSets の情報」の「組織単位 ID」を確認すると、マスクしているので分かりづらいですが、先ほど追加した OU ID が増えていることが確認できます。
21.png

AWS アカウントを移動する

AWS Organizations > AWS アカウント に移動します。
移動したいアカウントを選択し、「アクション」から「移動」をクリックします。
22.png

移動先 OU を選択し、「AWS アカウントを移動」をクリックします。
23.png

以下のようなメッセージが表示されていれば移動は完了です。
24.png

StackSets で作成したリソースは維持されているか確認する

移動したアカウント(itkr_mem01)にサインインして StackSets で作成した S3 バケットを確認します。

25.png

S3 バケットの作成日時が変わってない=リソースが維持されているということを伝えたいのですが、前提のときに提示したキャプチャと何ら変わりないので伝わっているか心配です。

CloudTrail でも確認します。
キャプチャでの S3 バケットの作成日時(2025/07/07 10:21:55 PM JST)以降、CreateBucket は実行されていません。
26.png

ちなみに DeleteBucket も、キャプチャでの S3 バケットの作成日時(2025/07/07 10:21:55 PM JST)以降は実行されていません。
(ログが表示されているのは別の検証用に作って削除したからです)
27.png

リソースが維持されていると考えて問題なさそうです。

さいごに

OU 移動前の準備作業 - AWS CloudFormation StackSets 編 の紹介でした。
実際にやってみて、OU 情報を再同期するために、CloudFormation StackSets の信頼されたアクセスを無効 → 再度有効にする操作が必要であることが分かり勉強になりました。
他にも OU ID を指定する AWS サービスは存在するので、それらの準備作業も順次紹介します。

この記事がどなたかのお役に立てれば幸いです。

この記事をシェアする

FacebookHatena blogX

関連記事

[登壇レポート] Toranomon Tech Hub 第五回 秋のIT大運動会! 〜技術ジャンル対抗LTバトル〜 「AWS DMS で SQL Server を移行してみた」という内容で登壇してきました #tora_tech
emi
2025.10.27
[アップデート] X-Ray がアダプティブサンプリングを利用できるようになりました
枡川 健太郎
2025.10.27
[アップデート] EC2インスタンスのインスタンスタイプベースでEBSボリュームとのIOPSやスループットキャパシティが超過しているかを記すCloudWatchメトリクスが追加されました
のんピ
2025.10.27
QuickSight describe コマンド実行時に指定する各種リソース ID の調べ方
すながわ
2025.10.27