[Organizaitons] OU自体を移動させたい

どうも、ちゃだいん（@chazuke4649）です。

実は、OU自体の移動はできない

AWS OrganizationsでOU設計をしている場合、ネスト構造を変更したくなる場合があります。(Control Towerでもネスト構造がサポートされたので同じくあると思います）

例えば、Root直下のProductionOUをWorkloadsOUの下に入れたい等...

タイトルと真逆のことを言いますが、
現時点では、AWS Organizations OU 自体を移動させることはできません。（AWS Control Towerも然り）

以下公式ドキュメントにもOU自体の移動方法は書かれていません。

ではどうすればよいか？

代替案

シンプルに、「新しく移動させたい先にOUを作成し、AWSアカウントを移動させる」となります。

以下手順です。

1. 移動先に新しく同じ名前のOUを作成する
2. （オプション）元のOUと同じポリシー(SCPなど)を新しいOUに適用する
3. AWSアカウントを新しいOUに移動させる

※ Control Towerも同じ方法で、Control Towerコンソールから実施します

カンタンですが、以上です。 AWSアカウントの移動と同じようにOUも移動できそうな気がしますが、現時点ではできないのでご注意ください。（アップデートに期待！）

補足

同じ名前のOUは、同じ場所には作れない

「階層が変わる場合」は同じ名前のOUは作ることができます。 先述の図のように、Root/SampleOUがある状況で、Root/WorkloadsOU/SampleOUは作れます。

ただし、「同じ階層・同じ場所」には同じ名前のOUは作ることができません。 Root/SampleOUがある状況で、Root/SampleOUを２つ目を作ることはできません。

それがやりたいことはそう多くはないと思いますが、例えば以下ブログのように、元々OrganizationsでSecurityというOUを使用していたが、Control Towerを有効化するタイミングで、新しくSecurityというOUを作りたい場合などです。

対応方法としては、上記ブログのように「元のOUをリネームして、被らないようにする」といった方法になります。