を他の AWS Organizations で使用する AWS のサービス - AWS Organizations
信頼されたアクセスを有効にするために必要なアクセス許可信頼されたアクセスを無効にするために必要なアクセス許可信頼されたアクセスを有効または無効にする方法AWS Organizations およびサービスにリンクされたロールAWSServiceRoleForDeclarativePoliciesEC2Report サービスにリンクされたロールの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を他の AWS Organizations で使用する AWS のサービス

信頼されたアクセスを使用して、信頼された AWS サービスと呼ばれる、指定したサービスを有効にし、ユーザーに代わって組織とそのアカウントでタスクを実行できます。これには、信頼されたサービスに許可を付与する必要がありますが、ユーザーまたはロールの許可に影響はありません。アクセスを有効にすると、信頼されたサービスは、組織の各アカウントにサービスにリンクされたロールと呼ばれる IAM ロール を必要なときに作成できるようになります。このロールには、信頼されたサービスを使用して、該当サービスのドキュメントに記載されているタスクの実行を可能にするアクセス許可ポリシーが含まれています。これにより、信頼されたサービスを使用して、ユーザーに代わって組織のアカウントで管理する設定や構成の詳細を指定できます。信頼されたサービスは、アカウントに対して管理アクションを実行する必要がある場合にのみ、サービスにリンクされたロールを作成します。必ずしも組織のすべてのアカウントで管理アクションを実行する必要はありません。

重要

オプションが使用可能な場合は、信頼されたサービスのコンソール、またはその AWS CLI または API オペレーションの同等のもののみを使用して、信頼されたアクセスを有効または無効にすることを強くお勧めします。これにより、信頼できるアクセスの有効化に必要なすべての初期化処理が信頼できるサービスによって実行可能になります。例えば、必要なリソースの作成や、信頼できるアクセスの無効にする際のリソースのクリーンアップなどです。

信頼されたサービスを使用し、信頼されたサービスによる組織へのアクセスを有効または無効にする方法については、AWS のサービス で使用できる AWS Organizations の [Supports Trusted Access] (信頼されたアクセスをサポート) 列の [Learn more] (詳細はこちら) リンクを参照してください。

Organizations コンソール、CLI コマンド、API オペレーションを使用してアクセスを無効にした場合の結果は次のようになります。

  • そのサービスでは、サービスにリンクされたロールを組織のアカウントに作成できなくなります。つまり、組織の新しいアカウントに対するオペレーションをサービスがユーザーに代わって実行できなくなります。そのサービスによる AWS Organizationsのクリーンアップが完了するまでは、古いアカウントに対するオペレーションは引き続き実行可能です。

  • そのサービスでは、ロールにアタッチされている IAM ポリシーによって明示的に許可されていない限り、組織のメンバーアカウントのタスクを実行できなくなります。これには、メンバーアカウントから管理アカウントまたは委任管理者アカウント (該当する場合) へのデータ集約が含まれます。

  • 一部のサービスはこれを検出し、統合に関連する残りのデータやリソースをクリーンアップします。一方、組織へのアクセスを停止するものの、統合を再び有効にする場合のために履歴データと設定を残しておくサービスもあります。

そうしたサービスであっても、コンソールまたはコマンドを使用して統合を無効にすると、その統合以外に用途のないリソースがクリーンアップされるようになります。組織のアカウントのリソースをクリーンアップする仕組みは、サービスによって異なります。詳しくは、 AWS の他のサービスのドキュメントを参照してください。

信頼されたアクセスを有効にするために必要なアクセス許可

信頼されたアクセスには、 AWS Organizations と信頼されたサービスの 2 つのサービスに対するアクセス許可が必要です。信頼されたアクセスを有効にするには、次のいずれかのシナリオを選択します。

  • AWS Organizations と信頼されたサービスの両方にアクセス許可を持つ認証情報がある場合は、信頼されたサービスが提供するツール (コンソールまたは AWS CLI) を使用してアクセスを有効にします。これにより、サービスが AWS Organizations ユーザーに代わって で信頼されたアクセスを有効にし、サービスが組織内で動作するために必要なリソースを作成できます。

    これらの認証情報に必要な最小限のアクセス権限は次のとおりです。

    • organizations:EnableAWSServiceAccess。また、このオペレーションに organizations:ServicePrincipal 条件キーを使用し、承認されたサービスプリンシパル名のリストに対してオペレーションが行うリクエストを制限することもできます。詳細については、「条件キー」を参照してください。

    • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合に必要です。

    • 信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。

  • あるユーザーが でアクセス許可を持つ認証情報を持っている AWS Organizations が、別のユーザーが信頼されたサービスでアクセス許可を持つ認証情報を持っている場合は、以下の順序で以下の手順を実行します。

    1. のアクセス許可を持つ認証情報を持つユーザーは、 AWS Organizations コンソール AWS CLI、、または AWS SDK を使用して、信頼されたサービスの信頼されたアクセスを有効にする AWS Organizations 必要があります。これにより、次のステップ (ステップ 2) を実行すると、組織の必要な設定を実行するためのアクセス権限が他のサービスに付与されます。

      最小限の AWS Organizations アクセス許可は次のとおりです。

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合にのみ必要です

      で信頼されたアクセスを有効にする手順については AWS Organizations、「」を参照してください信頼されたアクセスを有効または無効にする方法

    2. 信頼されたサービスのアクセス許可を含む認証情報をユーザーに設定すると、そのサービスで AWS Organizationsを操作できます。これにより、信頼されたサービスを使用して、組織で操作するために必要なリソースの作成など、必要な初期化を行うようサービスに指示されます。詳細については、サービス固有の手順 (AWS のサービス で使用できる AWS Organizations) を参照してください。

信頼されたアクセスを無効にするために必要なアクセス許可

信頼されたサービスを使用して、組織またはそのアカウントで操作する必要がなくなった場合は、次のいずれかのシナリオを選択します。

重要

サービスへの信頼されたアクセスを無効にすると、適切なアクセス権限を含むユーザーやロールは、そのサービスを使用できなくなります。ユーザーとロールによる AWS サービスへのアクセスを完全にブロックするには、そのアクセスを許可する IAM アクセス許可を削除するか、 でサービスコントロールポリシー (SCPs) を使用できます AWS Organizations。

SCP はメンバーアカウントにのみ適用できます。SCP は管理アカウントには適用されません。管理アカウントではサービスを実行しないことをお勧めします。代わりに、SCP を使用してセキュリティを制御できるメンバーアカウントで実行します。

  • AWS Organizations と信頼されたサービスの両方にアクセス許可を持つ認証情報がある場合は、信頼されたサービスで使用できるツール (コンソールまたは AWS CLI) を使用してアクセスを無効にします。無効になると、サービスは、ユーザーの代わりに、不要になったリソースを削除し、 AWS Organizations のサービスの信頼されたアクセスを無効にしてクリーンアップします。

    これらの認証情報に必要な最小限のアクセス権限は次のとおりです。

    • organizations:DisableAWSServiceAccess。また、このオペレーションに organizations:ServicePrincipal 条件キーを使用し、承認されたサービスプリンシパル名のリストに対してオペレーションが行うリクエストを制限することもできます。詳細については、「条件キー」を参照してください。

    • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合に必要です。

    • 信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。

  • のアクセス許可を持つ認証情報 AWS Organizations が、信頼されたサービスのアクセス許可を持つ認証情報ではない場合は、次の手順を次の順序で実行します。

    1. まず、信頼されたサービスのアクセス権限を含むユーザーを使用して、このサービスを使用するアクセスを無効にします。これにより、信頼されたアクセスに必要なリソースを削除してクリーンアップするよう、信頼されたサービスに指示されます。詳細については、サービス固有の手順 (AWS のサービス で使用できる AWS Organizations) を参照してください。

    2. のアクセス許可を持つユーザーは、 コンソール、または AWS SDK を使用して AWS Organizations AWS CLI、信頼されたサービスへのアクセスを無効に AWS Organizations できます。これにより、信頼されたサービスのアクセス許可は、組織やそのアカウントより削除されます。

      最小限の AWS Organizations アクセス許可は次のとおりです。

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合にのみ必要です

      で信頼されたアクセスを無効にする手順については AWS Organizations、「」を参照してください信頼されたアクセスを有効または無効にする方法

信頼されたアクセスを有効または無効にする方法

のアクセス許可のみがあり、他の AWS サービスの管理者に代わって組織への信頼されたアクセスを有効または無効に AWS Organizations する場合は、次の手順を使用します。

重要

オプションが使用可能な場合は、信頼されたサービスのコンソール、またはその AWS CLI または API オペレーションの同等のもののみを使用して、信頼されたアクセスを有効または無効にすることを強くお勧めします。これにより、信頼できるアクセスの有効化に必要なすべての初期化処理が信頼できるサービスによって実行可能になります。例えば、必要なリソースの作成や、信頼できるアクセスの無効にする際のリソースのクリーンアップなどです。

信頼されたサービスを使用し、信頼されたサービスによる組織へのアクセスを有効または無効にする方法については、AWS のサービス で使用できる AWS Organizations の [Supports Trusted Access] (信頼されたアクセスをサポート) 列の [Learn more] (詳細はこちら) リンクを参照してください。

Organizations コンソール、CLI コマンド、API オペレーションを使用してアクセスを無効にした場合の結果は次のようになります。

  • そのサービスでは、サービスにリンクされたロールを組織のアカウントに作成できなくなります。つまり、組織の新しいアカウントに対するオペレーションをサービスがユーザーに代わって実行できなくなります。そのサービスによる AWS Organizationsのクリーンアップが完了するまでは、古いアカウントに対するオペレーションは引き続き実行可能です。

  • そのサービスでは、ロールにアタッチされている IAM ポリシーによって明示的に許可されていない限り、組織のメンバーアカウントのタスクを実行できなくなります。これには、メンバーアカウントから管理アカウントまたは委任管理者アカウント (該当する場合) へのデータ集約が含まれます。

  • 一部のサービスはこれを検出し、統合に関連する残りのデータやリソースをクリーンアップします。一方、組織へのアクセスを停止するものの、統合を再び有効にする場合のために履歴データと設定を残しておくサービスもあります。

そうしたサービスであっても、コンソールまたはコマンドを使用して統合を無効にすると、その統合以外に用途のないリソースがクリーンアップされるようになります。組織のアカウントのリソースをクリーンアップする仕組みは、サービスによって異なります。詳細については、他の AWS サービスのドキュメントを参照してください。

AWS Management Console
信頼されたサービスのアクセスを有効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. サービスページで、有効にするサービスの行を探し、その名前を選択します。

  3. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  4. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) チェックボックスをオンにし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  5. アクセスを有効にする場合は、他の AWS サービスの管理者に、他の サービスが動作できるようになりました AWS Organizations。

信頼されたサービスのアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. サービスページで、無効にするサービスの行を探し、その名前を選択します。

  3. もう一方のサービスの管理者から、サービスが無効になり、そのリソースのクリーンアップが完了したことが知らされるまで待ちます。

  4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

AWS CLI, AWS API
信頼されたサービスのアクセスを有効または無効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを有効または無効にできます。

AWS Organizations およびサービスにリンクされたロール

AWS Organizations は、IAM サービスにリンクされたロールを使用して、信頼されたサービスが組織のメンバーアカウントでユーザーに代わってタスクを実行できるようにします。信頼されたサービスを設定して、組織との統合のためにそのサービスを承認すると、サービスにリンクされたロールをメンバーアカウントに作成するようにそのサービスから AWS Organizations にリクエストできます。信頼されたサービスによって必要に応じて非同期的に行われますが、組織のすべてのアカウントで必ずしも同時に必要とは限りません。サービスにリンクされたロールには IAM 許可が事前定義されており、信頼されたサービスは、そのアカウント内の特定のタスクだけを実行する許可が与えられます。一般的に、サービスにリンクされたロールはすべて AWS によって管理されます。つまり、通常、ロールまたはアタッチされたポリシーを変更することはできません。

こうした変更を行えるようにするため、組織内にアカウントを作成するとき、または組織への既存のアカウントの招待が承諾されたときに、 AWS Organizations は、サービスにリンクされたロール (AWSServiceRoleForOrganizations) を使用してメンバーアカウントをプロビジョニングします。このロールを引き受けることができるのは、 AWS Organizations サービス自体のみです。ロールには、 が他の のサービスにリンクされたロールを作成 AWS Organizations できるようにするアクセス許可があります AWS のサービス。このサービスにリンクされたロールは、すべての組織に存在します。

組織で一括請求機能のみ有効になっている場合、サービスにリンクされたロール (AWSServiceRoleForOrganizations) は使用されないため、削除できます。ただし、推奨はされません。組織のすべての機能を後に有効にする場合はこのロールが必要になるため、復元する必要があります。次のチェックは、すべての機能を有効にするプロセスを開始するときに実行されます。

  • 組織に参加するように招待された各メンバーアカウント - アカウント管理者には、すべての機能を有効にすることへの同意を求めるリクエストが送信されます。サービスにリンクされたロール (AWSServiceRoleForOrganizations) が存在しない場合に適切にリクエストに同意するには、organizations:AcceptHandshake 許可および iam:CreateServiceLinkedRole 許可の両方がアカウント管理者に必要です。AWSServiceRoleForOrganizations ロールが既に存在する場合、管理者がリクエストに同意するには、organizations:AcceptHandshake アクセス権限のみが管理者に必要です。管理者がリクエストに同意すると、サービスにリンクされたロールがまだ存在しない場合、 AWS Organizations によって作成されます。

  • 組織に作成された各メンバーアカウント - サービスにリンクされたロールの再作成リクエストがアカウント管理者に送信されます。(メンバーアカウントの管理者には、すべての機能を有効にするリクエストが届きません。これは、管理アカウント (旧称は「マスターアカウント」) の管理者が、作成されたメンバーアカウントの所有者と見なされるためです)。サービスにリンクされたロールは、メンバーアカウント管理者がリクエストに同意すると AWS Organizations によって作成されます。ハンドシェイクを適切に承諾するには、organizations:AcceptHandshake アクセス権限と iam:CreateServiceLinkedRole アクセス権限の両方が管理者に必要です。

組織内のすべての機能を有効にすると、サービスにリンクされたロール AWSServiceRoleForOrganizations はどのアカウントからも削除できなくなります。

重要

AWS Organizations SCPsサービスにリンクされたロールに影響を与えることはありません。これらのロールは、SCP 制限の対象外であるためです。

AWSServiceRoleForDeclarativePoliciesEC2Report サービスにリンクされたロールの使用

サービスにリンクされたロールは、Organizations AWSServiceRoleForDeclarativePoliciesEC2Reportがメンバーアカウントのアカウント属性の状態を記述して宣言ポリシーレポートを作成するために使用されます。ロールのアクセス許可は、 で定義されていますAWS 管理ポリシー: DeclarativePoliciesEC2Report