組織のメンバーアカウントへのアクセス

組織でアカウントを作成すると、ルートユーザーに加えて、OrganizationAccountAccessRole というデフォルト名の IAM ロールが AWS Organizations によって自動的に作成されます。名前は作成時に個別に指定できますが、アカウント全体で一貫性のある名前を使用することをお勧めします。このガイドでは、ロールをデフォルト名で表記します。AWS Organizations はこれ以外のユーザーまたはロールを作成することはありません。組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。

• AWS アカウントを作成する場合は、そのアカウントのすべての AWS のサービスとリソースに対して完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。このアイデンティティは AWS アカウントのルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、『IAM ユーザーガイド』の「ルートユーザー認証情報が必要なタスク」を参照してください。ルートユーザーのセキュリティに関するその他の推奨事項については、「AWS アカウントのルートユーザーのベストプラクティス」を参照してください。

• AWS Organizations の一部として提供されるツールを使用してアカウントを作成する場合、事前に設定済みの OrganizationAccountAccessRole というロールを使用してアカウントにアクセスします。このロールは、この方法で作成されるすべての新しいアカウントに存在します。詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

• 既存のアカウントを組織に招待し、そのアカウントによって招待が承諾されると、招待されたメンバーアカウントへのアクセスを管理アカウントに許可する IAM ロールを作成できるようになります。このロールは、AWS Organizations で作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。このロールの作成については、「招待されたメンバーアカウント OrganizationAccountAccessRole での の作成」を参照してください。ロールの作成が完了したら、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」のステップを使用してアクセスできます。

• AWS IAM Identity Center を使用し、IAM Identity Center の信頼されたアクセスを AWS Organizations で有効にします。これにより、ユーザーは企業の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられている管理アカウントまたはメンバーアカウント内のリソースにアクセスできます。

  詳細については、AWS IAM Identity Center ユーザーガイドのマルチアカウント許可を参照してください。IAM Identity Center への信頼されたアクセス設定については、「AWS IAM Identity Center および AWS Organizations」を参照してください。

最小アクセス許可

組織の別のアカウントから AWS アカウント にアクセスするには、次のアクセス許可が必要です。

• sts:AssumeRole - Resource 要素は、アスタリスク (*) に設定するか、新しいメンバーアカウントにアクセスする必要のあるユーザーが含まれるアカウントのアカウント ID 番号に設定する必要があります。

ルートユーザーとしてのメンバーアカウントへのアクセス

新しいアカウントを作成すると、AWS Organizations ではまず、文字長が最低でも 64 文字のパスワードを root ユーザーに割り当てます。すべての文字はランダムに生成され、特定の文字セットが登場する保証もありません。この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。詳細については、AWS「 サインインユーザーガイド」の「 のルートユーザーパスワードを忘れてしまったAWS アカウント」を参照してください。

メモ

• ベストプラクティスとして、ルートユーザーは、アクセス許可を制限した他のユーザーやロールの作成にのみ使用し、それ以外のアカウントへのアクセスには使用しないことをお勧めします。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。

• ルートユーザーに多要素認証 (MFA) を有効化することもお勧めします。パスワードをリセットし、root ユーザーに MFA デバイスを割り当てることができます。

• 正しくない E メールアドレスを使用して組織のメンバーアカウントを作成すると、ルートユーザーとしてアカウントにサインインできません。サポートが必要な場合は、AWS Billing and Support にお問い合わせください。

招待されたメンバーアカウント OrganizationAccountAccessRole での の作成

デフォルトでは、組織の一部としてメンバーアカウントを作成すると、そのアカウントに AWS が自動的に作成するロールにより、そのロールを引き受けることができる管理アカウントの IAM ユーザーに、管理者用のアクセス許可が付与されます。デフォルトでは、そのロールの名前は OrganizationAccountAccessRole です。詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

しかし、組織に招待するメンバーアカウントに、管理者ロールが自動的に作成されることはありません。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (OrganizationAccountAccessRole) を使用されることをお勧めします。

AWS Management Console

メンバーアカウントの AWS Organizations 管理者ロールを作成するには

1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。メンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。使用するユーザーまたはロールには、IAM ロールとポリシーを作成するアクセス許可が必要です。

2. IAM コンソールで、ロールに移動し、ロールの作成を選択します。

3. を選択しAWS アカウント、次に別の AWS アカウントを選択します。

4. 管理者アクセス権を付与する管理アカウントの 12 桁のアカウント ID 番号を入力します。オプション で、次の点に注意してください。

   • このロールの場合、アカウントは会社内部で使用するため、[Require external ID] (外部 ID が必要) は選択しないでください。外部 ID オプションの詳細については、「IAM ユーザーガイド」の「外部 ID を使用するタイミング」を参照してください。

   • MFA が有効化され設定されている場合は、オプションで、MFA デバイスを使用した認証を求めるように設定できます。MFA の詳細については、IAM ユーザーガイドの「 での多要素認証 (MFA) AWS の使用」を参照してください。

5. [次へ] をクリックします。

6. アクセス許可の追加ページで、 という名前のAWSマネージドポリシーAdministratorAccessを選択し、次へを選択します。

7. 名前、レビュー、作成 ページで、ロール名とオプションの説明を指定します。新しいアカウントのロールに割り当てられたデフォルト名との整合性を保つために、OrganizationAccountAccessRole を使用されることをお勧めします。変更をコミットするには、[ロールの作成] を選択します。

8. 新しいロールが、使用可能なロールのリストに表示されます。新しいロールの名前を選択して詳細を表示します。その際、表示されるリンクの URL に注意します。ロールへのアクセスが必要なメンバーアカウントのユーザーにこの URL を通知します。また、ステップ 15 で必要になる [ロール ARN] も書き留めます。

9. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。今回は、ポリシーを作成し、そのポリシーをユーザーまたはグループに割り当てるアクセス許可を持つ管理アカウントのユーザーとしてサインインします。

10. ポリシーに移動し、ポリシーの作成を選択します。

11. [Service] で、[STS] を選択します。

12. [Actions] (アクション) で、[Filter] (フィルター) ボックスに「AssumeRole」と入力し始め、表示されたら、横のチェックボックスをオンにします。

13. リソース で、特定の が選択されていることを確認してから、ARNs の追加 を選択します。

14. AWS メンバーアカウント ID 番号を入力し、ステップ 1～8 で作成したロールの名前を入力します。[ARN を追加] を選択します。

15. 複数のメンバーアカウントのロールを引き受けるためのアクセス権限を付与する場合は、アカウントごとにステップ 14 と 15 を繰り返します。

16. [次へ] をクリックします。

17. 確認と作成ページで、新しいポリシーの名前を入力し、ポリシーの作成を選択して変更を保存します。

18. ナビゲーションペインでユーザーグループを選択し、メンバーアカウントの管理を委任するために使用するグループの名前 (チェックボックスではない) を選択します。

19. [アクセス許可] タブを選択します。

20. アクセス許可の追加を選択し、ポリシーのアタッチを選択し、ステップ 11～18 で作成したポリシーを選択します。

選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URL より、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス

AWS Organizations コンソールを使用してメンバーアカウントを作成すると、AWS Organizations によって、OrganizationAccountAccessRole という名前の IAM ロールがアカウントに自動的に作成されます。このロールには、メンバーアカウントの完全な管理権限が含まれます。このロールのアクセスの範囲には、管理アカウント内のすべてのプリンシパルが含まれます。これにより、ロールは組織の管理アカウントにそのアクセスを許可するように構成されます。招待されたメンバーアカウントと同一のロールを作成するには、「招待されたメンバーアカウント OrganizationAccountAccessRole での の作成」のステップを実行します。このロールを使用してメンバーアカウントにアクセスするには、ロールを引き受けるアクセス許可を持つ管理アカウントのユーザーでサインインする必要があります。このアクセス権限を設定するには、次の手順を行います。メンテナンスしやすいように、アクセス権限は、ユーザーではなくグループに付与することをお勧めします。

AWS Management Console

管理アカウントの IAM グループのメンバーにアクセス許可を付与して、ロールにアクセスするには

1. IAM コンソール (https://console.aws.amazon.com/iam/) に管理者用のアクセス許可を持つ管理アカウントのユーザーとしてサインインします。これは、メンバーアカウントのロールにアクセスするユーザーが属する IAM グループにアクセス許可を委任するために必要です。

2. まず、後で必要になる管理ポリシーを ステップ 11 で作成します。

   ナビゲーションペインで、[Policies (ポリシー)] を選択し、[Create Policy (ポリシーの作成)] を選択します。

3. [ビジュアルエディタ] タブで、[サービスの選択] を選択し、検索ボックスに STS と入力してリストをフィルタリングし、[STS] オプションを選択します。

4. 「アクション」セクションassumeで、検索ボックスに「」と入力してリストをフィルタリングし、AssumeRoleオプションを選択します。

5. 「リソース」セクションで「特定の」を選択し、ARNs を追加」を選択し、前のセクションで作成したメンバーアカウント番号とロールの名前を入力します ( という名前を付けることをお勧めしますOrganizationAccountAccessRole）。

6. ダイアログボックスに正しい ARNsたら、ARN を追加 を選択します。

7. (オプション) 多要素認証 (MFA) が必要な場合や、指定された IP アドレス範囲からロールへのアクセスを制限する場合、[リクエスト条件] セクションを展開し、適用するオプションを選択します。

8. [次へ] をクリックします。

9. 確認と作成ページで、新しいポリシーの名前を入力します。例: GrantAccessToOrganizationAccountAccessRole。オプションとして説明を追加することもできます。

10. [ポリシーの作成] を選択してポリシーを保存します。

11. ポリシーが使用可能になったので、グループにアタッチできます。

    ナビゲーションペインで、ユーザーグループを選択し、メンバーアカウントでロールを引き受けることができるグループの名前 (チェックボックスではない) を選択します。必要に応じて、新しいグループを作成できます。

12. [アクセス許可] タブを選択し、[アクセス許可の追加] を選択してから、[ポリシーの添付] を選択します。

13. (オプション) [検索] ボックスに、ポリシー名を入力し始めると、「ステップ 2」から「ステップ 10」で作成したポリシーの名前が表示されるまで、リストをフィルタリングできます。すべてのタイプの を選択し、カスタマーAWS管理の を選択して、すべての管理ポリシーを除外することもできます。

14. ポリシーの横にあるチェックボックスをオンにし、ポリシーのアタッチ を選択します。

これで、グループのメンバーである IAM ユーザーに、次の手順に従って AWS Organizations コンソールで新しいロールに切り替えられるアクセス許可が付与されました。

AWS Management Console

メンバーのアカウントのロールに切り替えるには

ロールを使用する際、ユーザーは、新しいメンバーアカウントの管理者権限が付与されます。グループのメンバーである IAM ユーザーに、以下を実行して新しいロールに切り替えるように指示します。

1. AWS Organizations コンソールの右上隅で、現在のサインイン名が表示されたリンクをクリックし、[Switch Role] (ロールの切り替え) を選択します。

2. 管理者から提供されたアカウント ID 番号とロール名を入力します。

3. [表示名] で、ロール使用時にユーザー名の代わりに右上隅のナビゲーションバーに表示する文字列を入力します。オプションで色を選択することもできます。

4. [Switch Role] (ロールの切り替え) を選択します。これで、実行するアクションはすべて、切り替えたロールに付与されているアクセス権限で行われるようになりました。切り替えを戻さない限り、元の IAM ユーザーに関連付けられているアクセス許可を使用することはできません。

5. ロールのアクセス許可を必要とするアクションの実行が完了したら、通常の IAM ユーザーにもう一度切り替えることができます。右上隅 (ディスプレイ名として指定したもの) のロール名を選択し、「 に戻るUserName」を選択します。

追加リソース

• ロールを切り替えるアクセス許可の付与の詳細については、「IAM ユーザーガイド」の「ロールを切り替えるアクセス許可をユーザーに付与する」を参照してください。

• 引き受けるアクセス許可が付与されたロールの使用の詳細については、IAM ユーザーガイドの「ロールへの切り替え (コンソール）」を参照してください。

• クロスアカウントアクセスにロールを使用する方法のチュートリアルについては、IAM ユーザーガイドの「チュートリアル: 間の IAM ロールAWS アカウントを使用したアクセスの委任」を参照してください。

• AWS アカウント の閉鎖については、組織のメンバーアカウントの閉鎖 を参照して ください。