【AWS Organizations】
AWS Organizationsは、複数のAWSアカウントを一元的に管理するためのサービスです。AWS Organizationsを使用することで、管理対象のAWSアカウントに対する権限の設定や、各アカウントの請求情報を集約した一括請求が利用できます。

AWS Organizationsでは複数のAWSアカウントを階層構造で管理します。


○一括請求
Organizations内の各AWSアカウントへの請求情報を一括にまとめることで、コストの一元管理ができます。各アカウントの利用量が合計されるので、組織全体に対してボリュームディスカウントが適用されます。また、管理アカウントで割引共有を有効化することで、メンバーアカウントが購入したリザーブドインスタンスやCompute Savings Plansの割引をOrganizations内のすべてのアカウントに適用できます。

○SCP（サービスコントロールポリシー）
SCP（サービスコントロールポリシー）は、組織のルート、OU（Organizational Unit）、AWSアカウントに対して、AWSサービスへのアクセス権限や利用可能なリソースを制限できる機能です。例えば、特定のアカウントが利用できるサービスの制限や、利用可能なリージョンの制限ができます。また、SCPを適用する条件（Condition）を設定することで、特定のIAMユーザーまたはIAMロールからのリクエストを制限することも可能です。
SCPを組織のルートやOUに対して設定すると、その配下のアカウントのルートユーザーを含む全てのユーザーに対してSCPが適用（継承）されます。

○タグポリシー
Organizationsのタグポリシーは、AWSリソースに適用されるタグの使用を管理および制御するためのポリシーです。これにより、特定のタグキーや値の命名規則を強制し、組織全体で一貫したタグ付けを実現できます。タグポリシーは、リソースの整理やコスト管理を効率化するために使用されます。

○条件キー
条件キーは、特定の条件に基づいてアクセス制御を行うためにポリシーのCondition要素の中で使用されます。条件キーを使用することで、ポリシーの許可や拒否を具体的な条件で細かく制御し、アクセス権を詳細に管理できます。条件キーのうち、グローバル条件キーは"aws:"で始まり、すべてのAWSサービスに対して共通して使用できます。一方、サービス固有の条件キーは、サービス固有の名前(例"s3:")で始まります。

下記は代表的なグローバル条件キーです。
・組織ID(aws:PrincipalOrgID) ... 組織全体にわたるアクセスを制御する
・組織パス(aws:PrincipalOrgPaths) ... 組織ユニットの階層を指定し特定の部門やグループに対する細かいアクセスを制御する
・プリンシパルタグ(aws:PrincipalTag) ... タグに基づいてアクセスを制御する

例えば、aws:PrincipalOrgIDを条件キーとして指定することで、特定の組織IDを持つアカウントのみにリソースへのアクセスを許可できます。
以下のポリシーでは、AWS Organizationsの設定とS3バケットポリシーを組み合わせて、厳密なアクセス制御を実施できます。