AWS Organizationsからのアカウント作成手順
AWS Organizations を使用して新しいAWSアカウントを作成する手順を説明します。
前提条件
- AWS Organizations の管理アカウント(ルートアカウント)へのアクセス権限
- ルートアカウント情報は AWSアカウント管理スプレッドシート を参照
手順
1. AWS Organizations管理コンソールにアクセス
- AWS Management Console にログイン(ルートアカウントまたは Organizations 管理権限を持つIAMユーザー)
- サービス検索で「AWS Organizations」を選択
- Organizations ダッシュボードを開く
2. 新規アカウントの作成
- 左側メニューから「AWSアカウント」を選択
- 「AWSアカウントを追加」ボタンをクリック
- 「AWSアカウントを作成」を選択
3. アカウント情報の入力
以下の情報を入力します:
| 項目 | 説明 | 入力例 |
|---|---|---|
| AWSアカウント名 | アカウントの識別名 | fastdoctor-service-prod |
| アカウント所有者のEメールアドレス | アカウントのルートユーザーメールアドレス(一意である必要あり) | sre+service-prod@fastdoctor.jp |
| IAMロール名 | クロスアカウントアクセス用ロール(デフォルト推奨) | OrganizationAccountAccessRole |
4. 組織単位(OU)の選択
- アカウントを配置するOU(Organizational Unit)を選択
- 適切なOUがない場合は、先にOUを作成してから配置
5. アカウント作成の実行
- 「AWSアカウントを作成」ボタンをクリック
- 作成処理が開始される(通常数分で完了)
- ステータスが「アクティブ」になるまで待機
作成後の設定
ルートユーザーのパスワード設定
新規作成したアカウントのルートユーザーでログインするには:
- AWS サインインページで「ルートユーザー」を選択
- 新しいアカウントのメールアドレスを入力
- 「パスワードをお忘れですか?」をクリック
- メールで届いたリンクからパスワードを設定
推奨される初期設定
- MFAの設定: ルートユーザーに MFA を設定
- IAMユーザー/ロールの作成: 管理用の IAM ユーザーまたはロールを作成
- 請求設定: 請求アラートと予算の設定
- CloudTrailの有効化: 監査ログの有効化
- Service Control Policy (SCP): 必要に応じてOUレベルでSCPを適用
CLIでの作成方法
AWS CLIを使用してアカウントを作成することも可能です:
bash
aws organizations create-account \
--email "sre+new-account@fastdoctor.jp" \
--account-name "fastdoctor-new-account" \
--role-name "OrganizationAccountAccessRole" \
--iam-user-access-to-billing ALLOW作成状況の確認:
bash
aws organizations describe-create-account-status \
--create-account-request-id <request-id>注意事項
- メールアドレスはAWS全体で一意である必要があります
- アカウント作成には数分かかる場合があります
- 作成直後は一部のサービスで制限がかかる場合があります
- アカウント削除は90日間の待機期間が必要です