AWS Organizationsでデフォルト適用される離脱防止SCPの同等設定を、既存組織に実施してみた

AWS Organizationsでデフォルト適用される離脱防止SCPの同等設定を、既存組織に実施してみた

AWS Organizationsがコンソールから新規作成された組織に対して、メンバーアカウントの離脱とクローズを拒否するSCPをデフォルト適用するようになりました。CLI/SDKによる作成や既存組織は対象外のため、同じSCPを手動で作成・アタッチし、組織離脱が拒否されることを確認しました。
2026.07.11

はじめに

2026年7月10日、AWS Organizationsがコンソールから新規作成された組織に対して、アカウント離脱防止のSCPをデフォルトで適用するアップデートが発表されました。

https://aws.amazon.com/about-aws/whats-new/2026/07/aws-organizations-security-controls-new-orgs-console

今回のアップデートによる変更点は以下の通りです。

項目 以前 今回
コンソールでの新規組織作成時 SCPの自動適用なし organizations:LeaveOrganizationaccount:CloseAccount を拒否するSCPをルートに自動適用
適用対象 コンソール経由の新規作成のみ(CLI/SDK/CloudFormation は対象外)
既存組織への影響 なし(2026年6月30日以降のコンソール新規作成のみ)
変更・無効化 ユーザーがいつでも可能

自動適用されるSCPの内容は以下です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyLeaveOrganizationAndCloseAccount",
            "Effect": "Deny",
            "Action": [
                "organizations:LeaveOrganization",
                "account:CloseAccount"
            ],
            "Resource": "*"
        }
    ]
}

What's Newの提供リージョンには米国東部(バージニア北部)、AWS GovCloud(US-East / US-West)、中国(北京 / 寧夏)が記載されています。Organizations APIのエンドポイントはus-east-1のため、商用パーティションの通常利用ではリージョンを意識する必要はありません。

本記事では、既存の Organization でこのSCPと同等の設定を手動で適用し、メンバーアカウントからの離脱が拒否されることを確認します。

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_default_controls.html

検証内容

検証環境

項目
管理アカウント 111122223333
メンバーアカウント 444455556666
Organization ID o-exampleorgid
ルートID r-exrt
リージョン us-east-1

SCP の作成

管理アカウントから、デフォルト適用されるものと同じ内容のSCPを作成します。

aws organizations create-policy \
    --name DenyLeaveOrganizationAndCloseAccount \
    --description "Deny member accounts from leaving the organization or closing themselves" \
    --type SERVICE_CONTROL_POLICY \
    --content '{"Version":"2012-10-17","Statement":[{"Sid":"DenyLeaveOrganizationAndCloseAccount","Effect":"Deny","Action":["organizations:LeaveOrganization","account:CloseAccount"],"Resource":"*"}]}' \
    --region us-east-1

ポリシーが作成されました。

{
    "Policy": {
        "PolicySummary": {
            "Id": "p-examplepolicy",
            "Arn": "arn:aws:organizations::111122223333:policy/o-exampleorgid/service_control_policy/p-examplepolicy",
            "Name": "DenyLeaveOrganizationAndCloseAccount",
            "Description": "Deny member accounts from leaving the organization or closing themselves",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        }
    }
}

ルートへのアタッチ

作成したSCPをOrganizationのルートにアタッチします。

aws organizations attach-policy \
    --policy-id p-examplepolicy \
    --target-id r-exrt \
    --region us-east-1

正常に完了しました(出力なし)。

メンバーアカウントからの離脱試行

メンバーアカウント(444455556666)に AssumeRole で切り替え、leave-organization を実行します。

aws sts assume-role \
    --role-arn arn:aws:iam::444455556666:role/OrganizationAccountAccessRole \
    --role-session-name scp-verification \
    --region us-east-1

取得した認証情報で、組織からの離脱を試みます。

aws organizations leave-organization --region us-east-1

以下のエラーで拒否されました。

An error occurred (AccessDeniedException) when calling the LeaveOrganization operation: You don't have permissions to access this resource.

検証に使用した OrganizationAccountAccessRole は AdministratorAccess 相当の権限を持つため、IAMポリシーによる権限不足ではありません。このエラーはルートにアタッチしたSCPの明示的な Deny によるものであり、メンバーアカウントが組織から離脱できないことを確認できました。

クリーンアップ

検証が完了したので、SCPをデタッチして削除します。

aws organizations detach-policy \
    --policy-id p-examplepolicy \
    --target-id r-exrt \
    --region us-east-1

aws organizations delete-policy \
    --policy-id p-examplepolicy \
    --region us-east-1

いずれも正常に完了しました。

まとめ

今回のアップデートにより、コンソールから新規作成したOrganizationではメンバーアカウントの離脱・クローズを拒否するSCPがデフォルトで有効になりました。CLIやSDKによる組織作成、および既存のOrganizationには自動適用されないため、同じ内容のSCPを手動で作成・ルートにアタッチすることで同等の制御を適用できます。

本記事の検証では、AdministratorAccess相当の権限を持つロールから organizations:LeaveOrganization を実行し、SCPの明示的なDenyにより拒否されることを確認しました。なお、同じSCP定義には account:CloseAccount の拒否も含まれていますが、アカウントクローズ操作の動作確認は本記事の検証対象外です。

SCPのアタッチ上限は2026年5月に5から10に拡張されており、追加のSCPを適用する余裕も生まれています。新規Organizationではデフォルト適用を維持し、既存のOrganizationでもクォータに余裕があれば同等の設定をお勧めします。

https://dev.classmethod.jp/articles/aws-organizations-scp-quota-increase-2026/

https://dev.classmethod.jp/articles/aws-organizations-scp-quota-10-per-entity/

参考リンク

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html


そのマルチアカウント運用、気合いで支えていませんか

Organizations や Control Tower で土台は作れても、アカウントもポリシーも増えるほど、運用は「詳しい一人」に寄りかかっていく。属人化が限界を迎える前に、組織として回す仕組み=CCoEへ。5,600社の支援から得た立ち上げの型を、無料資料にまとめました。

CCoE総合支援

組織で回す仕組みの資料をもらう

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事