![[アップデート] AWS Organizations のアカウント参加・離脱理由が分かる CloudTrail イベントが記録されるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail?w=3840&fm=webp)
[アップデート] AWS Organizations のアカウント参加・離脱理由が分かる CloudTrail イベントが記録されるようになりました
2026年5月28日のアップデートで、AWS Organizations にメンバーアカウントが参加した時と離脱したときに新しい CloudTrail イベントが記録されるようになりました。本ブログでは、実際にメンバーアカウントの招待→承認とアカウント発行・閉鎖・除外を試してみて、追加された CloudTrail イベントを確認してみます。
追加された CloudTrail イベント
今回のアップデートで、AWS Organizations に関する次の 2 つの CloudTrail イベントが新しく記録されるようになりました。
| イベント名 | 記録されるタイミング |
|---|---|
AccountJoinedOrganization |
AWS アカウントが組織に参加した時 |
AccountDepartedOrganization |
AWS アカウントが組織から離脱した時 |
これまでも CreateAccount や RemoveAccountFromOrganization といったユーザーが操作した記録やアカウントの招待などの記録はありましたが、既存のイベントよりも参加・離脱に関する理由や情報が確認しやすくなったのだと理解しています。
AccountJoinedOrganization
アカウントが組織に参加した時に発行されるイベントです。アナウンスによると、参加方法(Created または Invited)とタイムスタンプが記録されるとのことです。これにより、組織に参加したアカウントが「新規作成によるもの」なのか「招待によるもの」なのかを CloudTrail から判別できるようになっています。
AccountDepartedOrganization
アカウントが組織から離脱した時に発行されるイベントです。アナウンスによると、離脱の理由とタイムスタンプが記録され、離脱理由は次の 3 種類に分類されるとのことです。
Left: 自発的に離脱した場合Removed: 管理アカウントによって除外された場合Cleaned: 永久に閉鎖された場合
新しいイベントの記録を確認してみた
次の 4 つのパターンで新しい CloudTrail イベント記録を確認してみます。
- 別組織へのアカウントの招待→承認
- 新規アカウントの発行
- 既存アカウントの閉鎖
- 既存アカウントの除外
別組織へのアカウントの招待→承認
下図の構成で AWS Organizations 管理アカウント 111111111111 配下のメンバーアカウント 222222222222 を、別の AWS Organizations 管理アカウント 333333333333 配下に招待して移動させてみます。
まずは、管理アカウント 333333333333 から別組織のメンバーアカウント 222222222222 を招待します。
アカウント 222222222222 で招待を承認します。
上記の流れにおいて、管理アカウント 333333333333 のバージニア北部リージョンにおいて記録された AccountJoinedOrganization イベントです。実際の記録内容のアカウント ID のマスキングも兼ねて上述した図に合わせた ID に置換しています。joinedMethod が招待による参加を示す INVITED になっていることが分かります。
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "333333333333",
"invokedBy": "organizations.amazonaws.com"
},
"eventTime": "2026-05-29T14:39:31Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "AccountJoinedOrganization",
"awsRegion": "us-east-1",
"sourceIPAddress": "organizations.amazonaws.com",
"userAgent": "organizations.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "1690ba92-3840-4221-b0d0-df3bd9449403",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "333333333333",
"serviceEventDetails": {
"accountId": "222222222222",
"joinedTime": "May 29, 2026 2:39:31 PM",
"joinedMethod": "INVITED"
},
"eventCategory": "Management"
}
次のイベントは管理アカウント 111111111111 のバージニア北部リージョンにおいて記録された AccountDepartedOrganization です。離脱理由の departureMethod が自発的に離脱したことを示す LEFT になっていることが分かります。
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111111111111",
"invokedBy": "organizations.amazonaws.com"
},
"eventTime": "2026-05-29T14:39:31Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "AccountDepartedOrganization",
"awsRegion": "us-east-1",
"sourceIPAddress": "organizations.amazonaws.com",
"userAgent": "organizations.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "9f8d754f-9f8c-4884-b114-4429f6a54be9",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "222222222222",
"departureTime": "May 29, 2026 2:39:31 PM",
"departureMethod": "LEFT"
},
"eventCategory": "Management"
}
新規アカウントの発行
次に、管理アカウント 111111111111 において新規アカウントを発行します。
新規アカウント発行時に記録された AccountJoinedOrganization イベントです。新規発行アカウント ID は 444444444444 に置換しています。joinedMethod がアカウント作成を示す CREATED になっており、招待のときとは値が異なっていることが分かります。
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111111111111",
"invokedBy": "organizations.amazonaws.com"
},
"eventTime": "2026-05-30T07:14:18Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "AccountJoinedOrganization",
"awsRegion": "us-east-1",
"sourceIPAddress": "organizations.amazonaws.com",
"userAgent": "organizations.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "b6bd4a8a-95d8-4c91-b21d-9f894207e319",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "444444444444",
"joinedTime": "May 30, 2026 7:14:18 AM",
"joinedMethod": "CREATED"
},
"eventCategory": "Management"
}
既存アカウントの閉鎖
次に、アカウントを閉鎖してみます。
アカウント閉鎖後すぐには AccountDepartedOrganization イベントは記録されませんでした。アナウンスにおける Cleaned 理由の説明が permanently closed であることから、再開できる期間である 90 日経過後の完全閉鎖時に記録されるのかもしれません。
既存アカウントの除外
管理アカウント 111111111111 から既存アカウント 555555555555 を除外(Remove)してみます。除外することでスタンドアローンのアカウントになります。
管理アカウント 111111111111 において記録された AccountDepartedOrganization イベントです。アナウンスの説明通り、departureMethod において管理アカウントから除外したことを示す REMOVED になっていることを確認できました。
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "111111111111",
"invokedBy": "organizations.amazonaws.com"
},
"eventTime": "2026-05-30T08:54:09Z",
"eventSource": "organizations.amazonaws.com",
"eventName": "AccountDepartedOrganization",
"awsRegion": "us-east-1",
"sourceIPAddress": "organizations.amazonaws.com",
"userAgent": "organizations.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "83a56a64-d958-4cb0-b466-af849b9c2432",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111111111111",
"serviceEventDetails": {
"accountId": "555555555555",
"departureTime": "May 30, 2026 8:54:09 AM",
"departureMethod": "REMOVED"
},
"eventCategory": "Management"
}
さいごに
AWS Organizations のアカウント参加・離脱に関する CloudTrail イベントである AccountJoinedOrganization と AccountDepartedOrganization が新しく追加されたため、実際に記録されたイベント内容を確認してみました。AWS Organizations のアカウント参加・離脱の理由の確認が容易になったように感じています。
以上、このブログがどなたかのご参考になれば幸いです。
