【AWS Organizations】
AWS Organizationsは、複数のAWSアカウントを一元的に管理するためのサービスです。AWS Organizationsを使用することで、管理対象のAWSアカウントに対する権限の設定や、各アカウントの請求情報を集約した一括請求が利用できます。

Organizationsでは複数の組織を階層構造で管理します。


◯一括請求
管理するAWSアカウントへの請求情報をひとまとめにすることで、コストの一元管理ができます。そのため、利用するサービスを個別に支払うより全体を合計することによりボリュームディスカウントができたり、メンバーアカウントが購入した割引されたサービスをメンバー間で共有することで他のメンバーにも割引サービスが適応されたりします。
割引されたサービスにはリザーブドインスタンスやCompute Savings Plans（※）があり、管理アカウントでリザーブドインスタンスやSavings Plansの割引共有を有効化することでOrganizations内のすべてのアカウントでの使用量に適応され有効活用ができます。
（※）Compute Savings Plans ... 1年または3年の期間、一定のサービス使用量（1時間あたりの利用料金）を決めて契約することで、通常よりも低価格になる購入オプション

〇サービスコントロールポリシー（SCP）
サービスコントロールポリシー（SCP）は、組織（Root）に属しているOU（Organizational Unit）または特定のアカウントに対して、AWSサービスへのアクセス権限や利用可能なリソースを制限できる機能です。例えば、組織に所属しているアカウントにMFA（多要素認証）を強制したり、特定のアカウントが利用できるサービスを制限したりできます。また、SCPを適用する条件(Condition)を設定することで、特定のIAMユーザーまたはIAMロールに対してのみ制限を適用するといった制御も可能です。
SCPをRootやOUに対して設定すると、その配下の要素に対してもSCPが適用（継承）されます。なお、SCPによる制限はAWSアカウントのルートユーザーに対しても有効です。

◯条件キー
条件キーは、特定の条件に基づいてアクセス制御を行うためにポリシーのCondition要素の中で使用されます。条件キーを使用することで、ポリシーの許可や拒否を具体的な条件で細かく制御し、アクセス権を詳細に管理できます。条件キーのうち、グローバル条件キーは"aws:"で始まり、すべてのAWSサービスに対して共通して使用できます。一方、サービス固有の条件キーは、サービス固有の名前(例"s3:")で始まります。

グローバル条件キーには以下のようなものがあります。
・組織ID(aws:PrincipalOrgID) ... 組織全体にわたるアクセスを制御する
・組織パス(aws:PrincipalOrgPaths) ... 組織ユニットの階層を指定し特定の部門やグループに対する細かいアクセスを制御する
・プリンシパルタグ(aws:PrincipalTag) ... タグに基づいてアクセスを制御する

例えば、aws:PrincipalOrgIDを条件キーとして指定することで、特定の組織IDを持つアカウントのみにリソースへのアクセスを許可することができます。
以下のポリシーでは、AWS Organizationsの設定とS3バケットポリシーを組み合わせて、厳密なアクセス制御を実施できます。