AWSアカウントを追加する【マルチアカウント / AWS Organizations / AWSアクセスポータル】

AWS Organizationsを有効にして、複数のAWSアカウント(環境)を作れるようにした(マルチアカウント戦略)のでAWSアカウントを追加します。
たまにしかやらないと思うので備忘録として残します。

作業内容

AWS Organizations

AWSアクセスポータルからAWSにログインしたら、AWS Organizationsのページにアクセスします。

AWSアカウントを追加ボタンをクリックします。

「AWSアカウント名」「メールアドレス」「IAMロール名」を入力します。

メールアドレスは、現在ログインしているユーザー等で使用しているものだと「EMAIL_ALREADY_EXISTS」で弾かれて失敗してしまいますので、まだ使ったことがないアドレスにしましょう。

Gmailを使っているならエイリアス機能を使えば、無駄に新しいメールアドレスを用意しなくてもいいので楽です。
例えば

• 今ログインしているユーザーのアドレスはxxx@gmail.comだとする
• xxx+〇〇@gmail.comというアドレスでxxx@gmail.comにメールを受信できる（これがエイリアス。〇〇は任意の文字列）
• 新しく作るAWSアカウントの名前が仮にSandboxだとして、わかりやすくするためにxxx+Sandbox@gmail.comというメールアドレス(エイリアス)で登録する。

といった感じです。
事前に指定のエイリアスでちゃんとメールが受け取れることを確認しておくと安心です。

IAMロール名はデフォルトで使われていたOrganizationAccountAccessRoleにしました。
（参考：https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_accounts_access.html）

作成が完了するとこんな感じで追加されます。

作成したAWSアカウントに入れるようにする

この時点ではまだAWSアクセスポータルからそのAWSアカウントに入ることはできません。

アクセスできるようにするにはまず、IAM Identity Centerのページにアクセスし、マルチアカウント許可 > AWSアカウント をクリックします。

そして作成したAWSアカウントを選択してユーザーまたはグループの割当をクリックします。

任意のグループを選択して次へ

任意の許可セットを選択して次へ

私は最初にAWS Organizationsを有効にした時に作った1種類しかグループも許可セットもまだなかったのでそれを選択しました。

最後に確認したら送信をクリック。

これで新しいAWSアカウントに許可セットが割り当てられたのでログインできるようになったはずです。

AWSアクセスポータルを見てみると、入ることができるAWSアカウントが追加されています。

以上です！