この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
どうも、ちゃだいん(@chazuke4649)です。
実は、OU自体の移動はできない
AWS OrganizationsでOU設計をしている場合、ネスト構造を変更したくなる場合があります。(Control Towerでもネスト構造がサポートされたので同じくあると思います)
例えば、Root直下のProductionOUをWorkloadsOUの下に入れたい等...
タイトルと真逆のことを言いますが、
現時点では、AWS Organizations OU 自体を移動させることはできません。(AWS Control Towerも然り)
以下公式ドキュメントにもOU自体の移動方法は書かれていません。
ではどうすればよいか?
代替案
シンプルに、「新しく移動させたい先にOUを作成し、AWSアカウントを移動させる」となります。
以下手順です。
- 移動先に新しく同じ名前のOUを作成する
- (オプション)元のOUと同じポリシー(SCPなど)を新しいOUに適用する
- AWSアカウントを新しいOUに移動させる
※ Control Towerも同じ方法で、Control Towerコンソールから実施します
カンタンですが、以上です。 AWSアカウントの移動と同じようにOUも移動できそうな気がしますが、現時点ではできないのでご注意ください。(アップデートに期待!)
補足
同じ名前のOUは、同じ場所には作れない
「階層が変わる場合」は同じ名前のOUは作ることができます。
先述の図のように、Root/SampleOUがある状況で、Root/WorkloadsOU/SampleOUは作れます。
ただし、「同じ階層・同じ場所」には同じ名前のOUは作ることができません。
Root/SampleOUがある状況で、Root/SampleOUを2つ目を作ることはできません。
それがやりたいことはそう多くはないと思いますが、例えば以下ブログのように、元々OrganizationsでSecurityというOUを使用していたが、Control Towerを有効化するタイミングで、新しくSecurityというOUを作りたい場合などです。
対応方法としては、上記ブログのように「元のOUをリネームして、被らないようにする」といった方法になります。
3
