AWS Organizationsでデフォルト適用される離脱防止SCPの同等設定を、既存組織に実施してみた
はじめに
2026年7月10日、AWS Organizationsがコンソールから新規作成された組織に対して、アカウント離脱防止のSCPをデフォルトで適用するアップデートが発表されました。
今回のアップデートによる変更点は以下の通りです。
| 項目 | 以前 | 今回 |
|---|---|---|
| コンソールでの新規組織作成時 | SCPの自動適用なし | organizations:LeaveOrganization と account:CloseAccount を拒否するSCPをルートに自動適用 |
| 適用対象 | — | コンソール経由の新規作成のみ(CLI/SDK/CloudFormation は対象外) |
| 既存組織への影響 | — | なし(2026年6月30日以降のコンソール新規作成のみ) |
| 変更・無効化 | — | ユーザーがいつでも可能 |
自動適用されるSCPの内容は以下です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyLeaveOrganizationAndCloseAccount",
"Effect": "Deny",
"Action": [
"organizations:LeaveOrganization",
"account:CloseAccount"
],
"Resource": "*"
}
]
}
What's Newの提供リージョンには米国東部(バージニア北部)、AWS GovCloud(US-East / US-West)、中国(北京 / 寧夏)が記載されています。Organizations APIのエンドポイントはus-east-1のため、商用パーティションの通常利用ではリージョンを意識する必要はありません。
本記事では、既存の Organization でこのSCPと同等の設定を手動で適用し、メンバーアカウントからの離脱が拒否されることを確認します。
検証内容
検証環境
| 項目 | 値 |
|---|---|
| 管理アカウント | 111122223333 |
| メンバーアカウント | 444455556666 |
| Organization ID | o-exampleorgid |
| ルートID | r-exrt |
| リージョン | us-east-1 |
SCP の作成
管理アカウントから、デフォルト適用されるものと同じ内容のSCPを作成します。
aws organizations create-policy \
--name DenyLeaveOrganizationAndCloseAccount \
--description "Deny member accounts from leaving the organization or closing themselves" \
--type SERVICE_CONTROL_POLICY \
--content '{"Version":"2012-10-17","Statement":[{"Sid":"DenyLeaveOrganizationAndCloseAccount","Effect":"Deny","Action":["organizations:LeaveOrganization","account:CloseAccount"],"Resource":"*"}]}' \
--region us-east-1
ポリシーが作成されました。
{
"Policy": {
"PolicySummary": {
"Id": "p-examplepolicy",
"Arn": "arn:aws:organizations::111122223333:policy/o-exampleorgid/service_control_policy/p-examplepolicy",
"Name": "DenyLeaveOrganizationAndCloseAccount",
"Description": "Deny member accounts from leaving the organization or closing themselves",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
}
}
}
ルートへのアタッチ
作成したSCPをOrganizationのルートにアタッチします。
aws organizations attach-policy \
--policy-id p-examplepolicy \
--target-id r-exrt \
--region us-east-1
正常に完了しました(出力なし)。
メンバーアカウントからの離脱試行
メンバーアカウント(444455556666)に AssumeRole で切り替え、leave-organization を実行します。
aws sts assume-role \
--role-arn arn:aws:iam::444455556666:role/OrganizationAccountAccessRole \
--role-session-name scp-verification \
--region us-east-1
取得した認証情報で、組織からの離脱を試みます。
aws organizations leave-organization --region us-east-1
以下のエラーで拒否されました。
An error occurred (AccessDeniedException) when calling the LeaveOrganization operation: You don't have permissions to access this resource.
検証に使用した OrganizationAccountAccessRole は AdministratorAccess 相当の権限を持つため、IAMポリシーによる権限不足ではありません。このエラーはルートにアタッチしたSCPの明示的な Deny によるものであり、メンバーアカウントが組織から離脱できないことを確認できました。
クリーンアップ
検証が完了したので、SCPをデタッチして削除します。
aws organizations detach-policy \
--policy-id p-examplepolicy \
--target-id r-exrt \
--region us-east-1
aws organizations delete-policy \
--policy-id p-examplepolicy \
--region us-east-1
いずれも正常に完了しました。
まとめ
今回のアップデートにより、コンソールから新規作成したOrganizationではメンバーアカウントの離脱・クローズを拒否するSCPがデフォルトで有効になりました。CLIやSDKによる組織作成、および既存のOrganizationには自動適用されないため、同じ内容のSCPを手動で作成・ルートにアタッチすることで同等の制御を適用できます。
本記事の検証では、AdministratorAccess相当の権限を持つロールから organizations:LeaveOrganization を実行し、SCPの明示的なDenyにより拒否されることを確認しました。なお、同じSCP定義には account:CloseAccount の拒否も含まれていますが、アカウントクローズ操作の動作確認は本記事の検証対象外です。
SCPのアタッチ上限は2026年5月に5から10に拡張されており、追加のSCPを適用する余裕も生まれています。新規Organizationではデフォルト適用を維持し、既存のOrganizationでもクォータに余裕があれば同等の設定をお勧めします。
参考リンク









