Organizationsのメンバーアカウントは別のOrganizationsからの招待を承諾できないらしい
2024.11.26はじめに
こんにちは。AWS事業本部コンサルティング部に所属している和田響です。
今回はOrganizationsへの招待に関して「Organizationsのメンバーアカウントは別のOrganizationsからの招待を承諾できない」という制約についてまとめてみます。
何が言いたいか?
今回伝えたい内容は、以下の図のように「現在Organizations組織に所属しているメンバーアカウントは、別のOrganizations組織へ直接移管できない」という内容です。
公式のFAQでは以下のように記載されています。
AWS Organizations の組織に参加できないのはなぜですか?
すでに別の組織のメンバーアカウントです。 現在の組織からアカウントを削除して、その後、もう一度お試しください。
したがって、現在Organizations組織に所属しているメンバーアカウントは、一度既存のOrganizations組織から外れた後に、別のOrganizations組織に所属することができます。
(画像ではOrganizations組織に所属しないアカウントを"スタンドアロンアカウント"を記載しています)
やってみる
準備
まずは、検証用にメンバーアカウントが所属するOrganizationsを2つ用意します。
Organizations①
Organizations②
今回はmember-1(88xxxxxxxxxx)のアカウントを、member-2(84xxxxxxxxxx)が所属するOrganizationsへ移管できるかを検証します。
組織へ招待する
まずはOrganizations②から、Organizations①に所属するmember-1(88xxxxxxxxxx)のアカウントへ招待を行います。
Organizations②の管理アカウントにログインし、「Organizations」のコンソールを開き「AWS アカウントの追加」をクリックします。
「既存の AWS アカウントを招待」を選択し、招待するAWSアカウントID(88xxxxxxxxxx)を記入し、「招待を送信」をクリックします。
招待を承諾する(できない)
member-1(88xxxxxxxxxx)のアカウントのルートユーザのメールアドレスに、画像のようなメールが届いています。
「Accept Invitation」をクリック、もしくはmember-1(88xxxxxxxxxx)のアカウントへログインし、「Organizations」のコンソールから「招待」を開きます。
「招待を承認する」をクリックすると、、、
「他のOrganizationsに所属しているため、招待の承諾ができない」という旨のエラーが表示されました。
公式FAQの通りですね!
組織を離れる
以下のマニュアルを参考に、Organizations①からmember-1(88xxxxxxxxxx)のアカウントを除外してみようと思います。
member-1(88xxxxxxxxxx)のアカウントにログインし、「Organizations」のコンソールから「ダッシュボード」を開きます。
「この組織を離れる」をクリックします。
本当に良いかを聞かれるので、「組織を離れる」をクリックしてみます。
「まだ組織を離れることはできません」のアラートが出てきました。。。
Organizationsを抜けてスタンドアロンのアカウントになった場合の情報が設定されていないため、設定を求められていますね。
具体的には以下の設定が必要です。(AWS側からするとこれが設定されてないと、どこに請求していいかわからないので当然ですね。)
- 連絡先名と住所
- 有効な支払い方法
- 電話番号による確認
- サポートプランオプション
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_accounts_leave-as-member.html
指示の通り「アカウントにサインイン」をクリックしてみます。
すると必要な情報が求められるので、設定していきます。
全て完了した後に、改めて「組織を離れる」をクリックすると、
「組織からアカウントを正常に除外しました。」と表示されました。
再度招待する
再度「AWS アカウントを追加」から、「既存の AWS アカウントを招待」を選択し、招待するAWSアカウントID(88xxxxxxxxxx)を記入し、「招待を送信」をクリックします。
再度招待を承諾する
member-1(88xxxxxxxxxx)のアカウントへログインし、「Organizations」のコンソールから「招待」を開きます。
「招待を承認する」をクリックすると、、、
「組織に参加するための招待を承認しました。」と表示され、無事に別の組織に入ることができました。
Organizations②の組織を見ると、Organizations①に所属していたmember-1(88xxxxxxxxxx)のアカウントが存在することが確認できました。
まとめ
今回は「Organizationsに所属するメンバーアカウントを他のOrganizationsに移管させたい場合は、一度Organizationsから離れる必要がある」という内容をまとめてみました。
普段あまり考えない内容かもしれませんが、どなたかの助けになれば幸いです。
![[アップデート] Amazon WorkSpaces PersonalでRocky Linuxが利用可能になりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-acc3ac1234c3f431604b3ef32a527e4a/ef41ff2367e43f0b972b2ceec4893544/amazon-workspaces-family)
![[新機能] Agents for Amazon Bedrock の InlineAgents を試してみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e3065182082062711612153bbdcf1d96/c04359de689df2f56eb066576ab63fb5/amazon-bedrock)
![[アップデート] Amazon CloudWatchが関連するテレメトリやリソース関係を可視化できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-d6a3bc85cad6419960fbda152152cd8c/ba5841cea06b96f4933878762028b090/amazon-cloudwatch)
![[アップデート] AWS Cloud WANとDirect Connect Gatewayを直接接続できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-60c691f79ca02dec69072193d9257b09/2ba62911edbe253bd9bef48ea976274b/aws-cloud-wan)
