Organizations と連携する AWS のサービスの委任管理者 - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Organizations と連携する AWS のサービスの委任管理者

AWS Organizations 管理アカウントとそのユーザーおよびロールは、そのアカウントで実行する必要のあるタスクのみに使用することをおすすめします。また、すべての AWS リソースを組織内の他のメンバーアカウントに保存し、管理アカウントからは切り離すことをおすすめします。これは、Organizations のサービスコントロールポリシー (SCP) などのセキュリティ機能は、管理アカウントのユーザーやロールに制限を加えることができないためです。また、リソースを管理アカウントから分離することで、請求書に記載される請求額が理解しやすくなります。

Organizations と統合される AWS のサービスでは、多くの場合管理アカウントの使用量を減らすことができます。これらのサービスでは、サービスで使用される組織のアカウントをすべて管理できる管理者として 1 つ以上のメンバーアカウントを登録できます。これらのアカウントは、その特定のサービスの委任管理者と呼ばれます。メンバーアカウントを AWS サービスの委任管理者として登録すると、そのアカウントに、そのサービスに対する一部の管理者権限と、Organizations の読み取り専用アクションの権限が付与されます。

アカウントをあるサービスの委任管理者として登録する前に:

  • そのサービスが委任管理者をサポートしていることを確認します。どのサービスが委任管理者をサポートしているかについては、AWS のサービス で使用できる AWS Organizations の表を参照してください。

  • そのサービスでの信頼されたアクセスを有効にします。

注記

委任管理者にサービスを有効にする方法については、AWS のサービス で使用できる AWS Organizations の表を参照して、そのサービスの [委任管理者のサポート] 列にある [詳細] リンクを選択してください。

委任管理者アカウントに付与された権限

各サービス固有の委任管理者アカウントには、そのサービスによって権限が付与されます。詳細については、AWS のサービス で使用できる AWS Organizations の表を参照して、そのサービスの [委任管理者のサポート] 列にある [詳細] リンクを選択してください。

委任管理者アカウントには、次の読み取り専用権限もあります。

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

これらの権限により、次のコンソール項目を表示できますが、変更はできません。

  • 組織構造、すべてのアカウントと OU、組織ポリシー

  • メンバーシップ

  • すべてのアカウントと OU

  • 組織方針