トップ > AWS Organizations > AWS Organizations における推奨 OU 構成のベストプラクティス2025年度最新版を学ぶ

AWS Organizations における推奨 OU 構成のベストプラクティス2025年度最新版を学ぶ

AWS Organizations AWS マルチアカウント
記事タイトルとURLをコピーする

マネージドサービス部 佐竹です。
本日は、AWS のホワイトペーパー(白書)に関する2025年度の最新情報を基に、皆様が AWS Organizations の OU に関するベストプラクティスをキャッチアップできるよう、本ブログを執筆しました。

はじめに

本記事は、AWS Organizations の基本的な概念をご存知で、マルチアカウント管理の特に OU 構成に関連する運用に携わっている中〜上級者の方を対象としています。もし先に基本をご理解されたい方は、この後に記載します「オンデマンド配信(ウェビナー)」から学習を進めて頂ければ幸いです。

これまでの背景

2021年8月に記載した以下のブログは、当時の AWS Organizations における推奨 OU 構成のベストプラクティスを説明したものでした。

blog.serverworks.co.jp

本記事を執筆した主な理由は、本ホワイトペーパーの日本語版がまだ公開されていなかったからです。そして、今現在(2025年7月)においても、まだ本ホワイトペーパーの日本語版はございません。

AWS Summit Japan 2025 に関連して

また私はこの記事をきっかけに、AWS Summit Japan 2023 から毎年「AWS Organizations の OU 設計と運用のベストプラクティス」という題でブースセッションをやらせて頂いています。これはウェビナーでは2本立てかつ60分以上かけて説明している資料を30分で説明するというセッションですが、毎年立ち見が出るほどに好評を頂いております。

さて、毎年同じ資料で発表しても目新しさがありません。ということで、私は AWS Summit があるごとに資料のアップデートを続けています。

Document history

実際、ホワイトペーパーである「Organizing Your AWS Environment Using Multiple Accounts」にも今年2度更新がありました。

ということで、本ブログは2024年度から2025年度で AWS Organizations の OU 構成について何が変わったのか?をセッション資料からかいつまんでお伝えしたいと思います。

関連したオンデマンド配信(ウェビナー)

2024年度の『AWS OrganizationsのOU設計と運用のベストプラクティス』オンデマンドウェビナーは以下からご覧いただけます。AWS Organizationsのファーストステップから是非順にご覧ください。

www.serverworks.co.jp

www.serverworks.co.jp

2025年度版のウェビナーはただいま準備中ですので、少々お待ちください。

AWS Organizations における注目のアップデート①

承認ポリシー「SCP と RCP」に関する補足:”継承”

1つ目は以前「AWS Organizations の各ポリシーと継承について整理する (2024年10月版)」でも紹介した「継承」に関する注意事項です。

これは2024年の秋頃には既にアップデートされていた内容でもあります。詳しくは上リンク先のブログに任せますが、以下でその内容を要約して記載します。

「継承」とは一体何だったのか

2020年8月に、当時サービスコントロールポリシー(SCP)の継承について私は解説を行っています。

blog.serverworks.co.jp

何故か?それほどまでに「継承」という概念は混乱をもたらすものだったからです。特に以下の点においてそうでした。

SCP に関するよくある認識の誤り

FullAWSAccess はまるで「上位階層から継承されることで、直接付与しなくても動作する」かのように見えてしまいます。この動作のためにお客様からは「 FullAWSAccess は継承されるのではなかったのですか?」と何度か問い合わせをいただくことになっていました。ですが、SCP による機能制御はエンティティごとに行われるため FullAWSAccess はほとんどの場合において「各エンティティに直接アタッチする」必要があるのです。

実際、上記アップデートに関して、「継承」が SCP から除外された理由を AWS サポートに確認済です。以下はその時の回答の一部です。

SCP においては許可ベースのステートメントは子 OU /アカウントに影響せず、「継承」に当てはまる動作をいたしませんでした。
このように、すべての SCP に一貫して当てはまる動作ではなかったため、SCP において「継承」という言葉が使用されなくなったものとお考えください。

このような背景から、「継承」という AWS Organizations の概念から除外されるために、当時 SCP はその他のポリシーである「Management policies: 管理ポリシー」からたった1つ除外されていました。

「継承」の現在

その後「リソースコントロールポリシー(RCP)」が登場し、SCP と RCP はまとめて「Authorization policies: 承認ポリシー」と呼ばれることになりました。これらの承認ポリシーは2つとも、「継承」という概念からは先の通り除外されています。

承認ポリシー「SCP と RCP」に関する補足:”継承”

実際、AWS Organizations の SCP の設定を行うマネジメントコンソールにおいても「継承」という言葉は削除されました。上記が古い表記で、以下が新しいマネジメントコンソールの表記です。

承認ポリシー「SCP と RCP」に関する補足:”継承”2

この通り「SCP」の説明から「継承」という言葉が除外されていることがわかります。

まず1つ、我々は SCP の継承という少々ややこしい概念から解き放たれたことを理解しましょう。

AWS Organizations における注目のアップデート②

Foundational OU 以外にも「各 OU をまとめるための OU」が追加された

もう1つは、4つの推奨 OU が追加され、現在推奨される OU の数は11+1から16に増えている点です*1

  1. Foundational OUs
  2. Application OUs
  3. Experimental OUs
  4. Procedural OUs
  5. Advanced OUs

と申しましても、追加されたのはこれまでに存在していた OU を束ねる OU です。ですので、実際問題そこまで大きな変更というわけではありません。

実態として理解したい OU はこれらの 11 の OU

実態として理解したい OU はこれらの 11 の OUだからです。

また、このような推奨 OU のそれぞれを束ねる OU というのは、これまで「Foundational OU」のみでした。そこに新たに4つ追加された格好です。

推奨される 16 の OU を全て記載した場合のツリー構造

つまり、既存の OU を分類するための親 OU が増えた形です。

4つの推奨 OU が追加された影響は?

正直なところ、これらの OU は実装上の都合というよりは「概念的」なものに近いという印象です。

AWS Organizations 導入時の初期 OU 構成例 ‘

私はこのような構成を初期 OU 構成として提案しています。実際問題、「Foundational OU」は運用とその実装上、必要なことがあるためです。その背景は福島の記載した以下の記事においても解説しました。

blog.serverworks.co.jp

ですが実用性の観点から、既存の OU 構成を、すぐに今回追加された4つの親 OU を挟む形へ変更する必要性は低いと考えます*2

AWS Organizations 導入時の初期 OU 構成例(2025)

変更する必要がない理由に関してですが、1つ目は「AWS Organizations の SCP で 設計時に気を付けるべきポイント」で解説しておりますように、「OU ネスト数」の最大は「5」です。

blog.serverworks.co.jp

OU をむやみに増やすと、このネスト数の最大 5 に抵触しやすくなる可能性があります。

また理由の2つ目として、「OU」は「ツリー構造ごと」は Move できないという仕様です。このため、上位階層の親 OU を挟むためには、実際の作業としては Root 配下に OU 構成を作成しなおし、既存の OU と同様の設定になるよう新規 OU に対して SCP 等のポリシーや CloudFormation StackSets の設定をしなおさないといけません。この手間が発生してしまいます。

これらの理由から、新しい4つの親 OU の導入は CloudFormation StackSets の実行対象や SCP のための OU ネスト構造の見直し等の実際の運用要件に照らし合わせて、必要があれば追加されると良いでしょう。

どちらかというと、完全に新規に AWS Organizations の OU を設計される場合に、本 OU を踏まえて初期 OU 設計を検討されるほうが良いと存じます。

まとめ

登壇資料より「最初に」

本ブログでは、 AWS Summit Japan 2025 でブースセッションとして発表しました2025年度最新版の「AWS Organizations の OU 設計と運用のベストプラクティス」において、特に重要な変更点について2点記載しました。

1点目は「SCP (正確には承認ポリシー) において継承という言葉が使われなくなったこと」です。これについては長らく混乱をもたらしていた原因でしたのでここでも繰り返し述べたいと思います。

2点目は「4つの親となる推奨 OU が追加された」点です。これは現段階の理解としては、各 OU を束ねる概念ができたという認識でよいように思われます。なお、先に述べたように親 OU を追加することで階層が深くなるため、OU のネスト上限である「5」に抵触しやすくなる点には留意が必要です。

最後に、プレゼン資料から「守破離」の「守」としてこの言葉を記載して終わりにしたいと思います。

  • 『AWS のホワイトペーパーやベストプラクティスに則っていない設計は全て「悪」というわけではありません』
  • 『ただし、AWS Organizations のベストプラクティスを理解した状態で設計を行うことで、予めハマりそうなポイントを回避でき、柔軟性/拡張性が増します』

それでは皆様、良い AWS マルチアカウントライフを。

では、またお会いしましょう。

*1:これまでの 11 +1 (Foundational) の OU に加え、4つの親となる新 OU を加えると、推奨される OU は現在 16 となる

*2:Workloads OU では追加された新規 OU をあえて除外しています

佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ

セキュリティサービス部所属。AWS資格全冠。2010年1月からAWSを業務利用してきています。主な表彰歴 2021-2022 AWS Ambassadors/2020-2025 Japan AWS Top Engineers/2020-2025 All Certifications Engineers。AWSのコスト削減やマルチアカウント管理と運用を得意としています。