現場実践|AWS Organizations設計

AWS OrganizationsとSCP設計|マルチアカウント戦略とサービスコントロールポリシーの実践

「AWSアカウントを複数管理したい」「各アカウントで特定のリージョンしか使えないように制限したい」——AWS Organizationsのマルチアカウント設計・OU(組織単位)の構成・Service Control Policy(SCP)の実践を解説します。

読了目安:約18分更新日:2026年4月

💡 AWS Organizationsはマルチアカウント環境の統合管理サービス。SCPでアカウント横断のガードレールを設定することで「誤操作による意図しないリソース作成」を組織全体で防ぐことができます。

この記事を書いた人
現役ITエンジニア・IT講師(経験14年)
CCNA・CCNP 取得LPIC-1 保有SES現場を複数経験

AWSマルチアカウント環境のOrganizations設計・SCP適用を複数の大規模案件で担当してきた立場から解説します。

1. マルチアカウント戦略のOU構成例

Root
├── Security(セキュリティ集中管理アカウント)
│   └── GuardDuty・CloudTrail・SecurityHub統合
├── Management(管理アカウント)
│   └── Billing・Cost Explorer・Organizations管理
├── Sandbox(開発者学習用)
│   └── 個人ごとのAWSアカウント。削除制限なし
├── Workloads
│   ├── Dev(開発環境)
│   ├── Staging(ステージング環境)
│   └── Prod(本番環境)
│       └── SCPで削除操作を制限
└── Shared Services
    └── ECR・Route53・DirectConnect共有アカウント

2. SCPの実践例

// 東京リージョン以外でのリソース作成を禁止するSCP
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:RequestedRegion": [
            "ap-northeast-1",  // 東京
            "us-east-1"  // バージニア(グローバルサービス用)
          ]
        }
      }
    }
  ]
}

3. SCPのよく使うユースケース

  • 本番アカウントでのRDS削除禁止:「rds:DeleteDBInstance・rds:DeleteDBCluster」をDenyするSCPをProd OUに適用する
  • GuardDutyの無効化禁止:「guardduty:DeleteDetector」をDenyしてセキュリティ監視を組織全体で強制する
  • 特定のインスタンスタイプ制限:コストコントロールのため「t3.nano〜t3.large以外のEC2は起動禁止」をSandboxアカウントに適用する
📌 この記事のポイント
  • OUはSecurity・Management・Sandbox・Workloads(Dev/Stg/Prod)・SharedServicesで分割するのが標準パターン
  • SCPはリージョン制限・RDS削除禁止・GuardDuty無効化禁止のガードレールとして組織全体に適用する
  • SCPはDenyで書く。ルートに適用すると管理アカウント以外の全アカウントに強制される強力な制御ツール

キャリアの疑問、一緒に解決しませんか?

Infra Academyでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。

※AWS OrganizationsとSCPの仕様はAWSにより変更される場合があります。

資格取得後のキャリアに、AI活用という選択肢を

資格取得の先に現場でのIT効率化を任される場面が増えます。職場のルーティン業務にAIをどう組み込めるか、無料のセルフ診断(3問・約1分)でヒントが得られます。

AI業務効率化 無料診断へ →

この記事を読んでいる方へのおすすめ:

【編集・制作ポリシー】
本記事はRoute Bloom編集部が公式ドキュメント・技術仕様書の一次情報をもとに作成しています。ITインフラ・技術情報は急速に変化するため、実装前に最新の公式ドキュメントをご確認ください。情報の正確性には万全を期していますが、最新情報は各公式サイトをご確認ください。
【編集・制作ポリシー】
本記事はRoute Bloom編集部が各ベンダー公式ドキュメント・エンジニア監修をもとに作成しています。インフラ・クラウド構築は環境により異なります。本番環境への適用前に必ずテストを実施してください。情報の正確性には万全を期していますが、最新情報は各公式ドキュメントをご確認ください。
【編集・制作ポリシー】
本記事はRoute Bloom編集部が各ベンダー・技術標準の公式ドキュメントをもとに作成しています。 インフラ・クラウド技術に関する最終判断は実際の環境・バージョンで検証のうえ実施してください。 情報の正確性には万全を期していますが、最新情報は各公式ドキュメントをご確認ください。

編集ポリシー:この記事は、Route Bloom の編集チームが最新情報を元に執筆・監修しています。情報の正確性を保つために定期的な見直しを行っています。

この記事で学んだスキルをさらに深めたい方へ

AWS・クラウド技術をさらに深く学びたい方に。試験対策から実践まで網羅した参考書を活用しましょう。

Amazonアソシエイトプログラムを利用しています。

ABOUT ME
たから
サラリーマンをしながら開業して経営やってます。 今年、本業で独立・別事業を起業予定です。 ◆経験:IT講師/インフラエンジニア/PM/マネジメント/採用/運用・保守・構築・設計 ◆取得資格:CCNA/CCNP/LPIC-1/AZ-900/FE/サーティファイC言語 ◆サイドビジネス:アパレル事業/複数のWEBメディアを運営