アカウントに必要なアクセス許可

アカウントのプロビジョニングと更新の各方法に必要なアクセス許可については、それぞれのセクションで説明します。適切なユーザーグループの許可があれば、組織内のすべてのアカウントに対して標準化されたベースラインとネットワーク設定を指定できます。

注記

アカウントをプロビジョニングする場合、アカウントのリクエスタには必ず CreateAccount および DescribeCreateAccountStatus アクセス許可が必要です。このアクセス許可セットは Admin ロールの一部であり、リクエスタが Admin ロールを引き受けると自動的に付与されます。アカウントをプロビジョニングするアクセス許可を委任する場合、これらのアクセス許可をアカウントリクエスタに直接追加する必要がある場合があります。

Account Factory で AWS Control Tower コンソールからアカウントを作成する場合、AWSServiceCatalogEndUserFullAccessポリシーが有効になっているIAMユーザーと Control Tower AWS コンソールを使用するアクセス許可を持つアカウントにサインインする必要があります。ルートユーザーとしてサインインすることはできません。

AWS Control Tower に必要なアクセス許可の一般的な情報については、「」を参照してくださいAWS Control Tower でアイデンティティベースのポリシー (IAM ポリシー) を使用する。AWS Control Tower のロールとアカウントの詳細については、「ロールとアカウント」を参照してください。