概要

• 機能セットとして２つあり、１つを選択する
  • 一括請求のみ
  • 全ての機能（サービスコントロールポリシーによる一元管理が可能）
• マスターアカウントが作成するのは子にあたるルートアカウントのみ
  • ルートアカウントの下に関連付くのはそのアカウント内のIAMユーザー
• Organizationsで作ったアカウントを削除する場合支払方法の入力が必要
• ADユーザーにマネジメントコンソールへのSSOを実現できる
• CloudFormationのスタックセットを組織単位でデプロイできる

サービスコントロールポリシー

• 組織ルート、組織単位（OU）、アカウントに対して適用できる
• Whitelist、Blacklist両方の方式に対応
• IAMと同じ構文ルールで設定
  • 指定できるのはEffectとActionだけ
  • Resourceは「*」で固定
  • Principalは利用不可

AWS管理ユーザーの管理

• なるべく１つに集約するのが望ましい
• 集約する方法として、Switch RoleとSSOがある

疑問

• 組織ルートとは