「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
AWS Organizations を AWS の他のサービスと併用する
信頼されたアクセスを使用して、指定したサポートされている のサービス (AWS信頼されたサービスと呼ばれる) を有効にできます。これにより、組織とそのアカウントのタスクを代理で実行できるようになります。このためには、信頼されたサービスにアクセス権限を付与する必要がありますが、 ユーザーまたはロールのアクセス権限に影響はありませんIAM。アクセスを有効にすると、信頼されたサービスを使用して、組織の各アカウントに IAM ロール (サービスにリンクされたロールと呼ばれる) を必要なときに作成できます。このロールには、信頼されたサービスを使用して、該当サービスのドキュメントに記載されているタスクの実行を可能にするアクセス許可ポリシーが含まれています。これにより、信頼されたサービスを使用して、ユーザーに代わって組織のアカウントで管理する設定や構成の詳細を指定できます。信頼されたサービスは、アカウントで管理アクションを実行する必要がある場合にのみサービスにリンクされたロールを作成します。必ずしも組織のすべてのアカウントで管理アクションを実行する必要はありません。
信頼されたアクセスを有効または無効にすることを強くお勧めします。そのためには、信頼されたサービスのコンソール、その または API オペレーションの同等のもののみを使用します。AWS CLIこれにより、必要なリソースの作成や、信頼されたアクセスを無効にする場合のリソースのクリーンアップなど、信頼されたアクセスを有効にするときに、信頼されたサービスで必要な初期化を実行できます。
信頼されたサービスを使用して、組織への信頼されたサービスアクセスを有効または無効にする方法については、 の「信頼されたアクセスのサポート」列にある [詳細はこちらAWS で使用できる のサービスAWS Organizations] リンクを参照してください。
組織コンソール、CLI コマンド、または API オペレーションを使用してアクセスを無効にすると、次のアクションが発生します。
-
このサービスでは、組織のアカウントでサービスにリンクされたロールを作成できなくなります。つまり、サービスは組織内の新しいアカウントに対してユーザーに代わってオペレーションを実行することはできません。サービスが AWS Organizations からのクリーンアップを完了するまで、サービスは古いアカウントでオペレーションを実行できます。
-
ロールにアタッチされた IAM ポリシーによってそれらのオペレーションが明示的に許可されている場合を除き、サービスは組織内のメンバーアカウントでタスクを実行できなくなります。これには、メンバーアカウントから管理アカウント、または関連する委任管理者アカウントへのデータ集約が含まれます。
-
一部のサービスではこれを検出し、統合に関連する残りのデータやリソースをクリーンアップします。また、組織へのアクセスは停止するものの、統合の再開をサポートするために履歴データや設定を残します。
代わりに、他のサービスのコンソールまたはコマンドを使用して統合を無効にすることで、統合にのみ必要なリソースを他のサービスでクリーンアップできます。サービスが組織のアカウント内のリソースをクリーンアップする方法は、そのサービスによって異なります。詳細については、他の AWS サービスのドキュメントを参照してください。
信頼されたアクセスを有効にするために必要なアクセス許可
信頼されたアクセスを使用するには、2 つのサービス (AWS Organizations と信頼されたサービス) のアクセス権限が必要です。信頼されたアクセスを有効にするには、次のいずれかのシナリオを選択します。
-
と信頼されたサービスの両方にアクセス許可がある認証情報が設定されている場合、信頼されたサービスによって提供されるツール (コンソールまたは AWS Organizations) を使用してアクセスを有効にします。AWS CLIこれにより、サービスはユーザーに代わって AWS Organizations で信頼されたアクセスを有効にし、サービスが組織内で動作するために必要なリソースを作成します。
これらの認証情報に必要な最小限のアクセス権限は次のとおりです。
-
organizations:EnableAWSServiceAccess
。 また、このオペレーションでorganizations:ServicePrincipal
条件キーを使用して、承認されたサービスプリンシパル名のリストに対するオペレーションのリクエストを制限することもできます。詳細については、「」を参照してください。条件キー. -
organizations:ListAWSServiceAccessForOrganization
–AWS Organizations コンソールを使用する場合は必須 -
信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。
-
-
AWS Organizations のアクセス権限を含む認証情報が設定されているユーザーと、信頼されたサービスのアクセス権限を含む認証情報が設定されているユーザーがいる場合は、以下のステップをこの順序で実行します。
-
AWS Organizations のアクセス権限を含む認証情報がユーザーに設定されている場合は、AWS Organizations コンソール、AWS CLI、または AWS SDK を使用して、信頼されたサービスの信頼されたアクセスを有効にします。これにより、次のステップ (ステップ 2) を実行すると、組織の必要な設定を実行するためのアクセス権限が他のサービスに付与されます。
AWS Organizations の最小限のアクセス権限は次のとおりです。
-
organizations:EnableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
–AWS Organizations コンソールを使用する場合のみ必須
AWS Organizations で信頼されたアクセスを有効にする特定のステップについては、「信頼されたアクセスを有効または無効にする方法.」を参照してください。
-
-
信頼されたサービスのアクセス許可を含む認証情報をユーザーに設定すると、そのサービスで を操作できます。AWS Organizations. これにより、信頼されたサービスを使用して、組織で操作するために必要なリソースの作成など、必要な初期化を行うようサービスに指示されます。詳細については、サービス固有の手順 () を参照してください。AWS で使用できる のサービスAWS Organizations.
-
信頼されたアクセスを無効にするために必要なアクセス許可
信頼されたサービスを使用して、組織またはそのアカウントで操作する必要がなくなった場合は、次のいずれかのシナリオを選択します。
サービスへの信頼されたアクセスを無効にすると、適切なアクセス許可を持つユーザーやロールは、そのサービスを使用できなくなります。ユーザーおよびロールによる AWS サービスへのアクセスを完全にブロックするには、そのアクセス権限を付与する IAM アクセス権限を削除するか、 でサービスコントロールポリシー (SCP)SCPsAWS Organizations
-
AWS Organizations と信頼されたサービスの両方にアクセス許可がある認証情報が設定されている場合には、信頼されたサービスで利用できるツール (コンソールまたは AWS CLI) を使用してアクセスを無効化します。無効になると、サービスは、ユーザーの代わりに、不要になったリソースを削除し、AWS Organizations のサービスの信頼されたアクセスを無効にしてクリーンアップします。
これらの認証情報に必要な最小限のアクセス権限は次のとおりです。
-
organizations:DisableAWSServiceAccess
。 また、このオペレーションでorganizations:ServicePrincipal
条件キーを使用して、承認されたサービスプリンシパル名のリストに対するオペレーションのリクエストを制限することもできます。詳細については、「」を参照してください。条件キー. -
organizations:ListAWSServiceAccessForOrganization
–AWS Organizations コンソールを使用する場合は必須 -
信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。
-
-
AWS Organizations のアクセス権限を含む認証情報と、信頼されたサービスのアクセス権限を含む認証情報が異なる場合は、以下のステップをこの順序で実行します。
-
まず、信頼されたサービスのアクセス権限を含むユーザーを使用して、このサービスを使用するアクセスを無効にします。これにより、信頼されたアクセスに必要なリソースを削除してクリーンアップするよう、信頼されたサービスに指示されます。詳細については、サービス固有の手順 () を参照してください。AWS で使用できる のサービスAWS Organizations.
-
これで、AWS Organizations のアクセス権限を含むユーザーは、AWS Organizations コンソール、AWS CLI、または AWS SDK を使用して、信頼されたサービスのアクセスを無効にできるようになります。これにより、信頼されたサービスのアクセス許可は、組織やそのアカウントより削除されます。
AWS Organizations の最小限のアクセス権限は次のとおりです。
-
organizations:DisableAWSServiceAccess
-
organizations:ListAWSServiceAccessForOrganization
–AWS Organizations コンソールを使用する場合のみ必須
AWS Organizations で信頼されたアクセスを無効にする特定のステップについては、信頼されたアクセスを有効または無効にする方法.を参照してください。
-
-
信頼されたアクセスを有効または無効にする方法
AWS Organizations のアクセス許可のみ付与されており、他の AWS サービスの管理者の代わりに、組織への信頼されたアクセスを有効または無効にする場合は、次の手順を使用します。
信頼されたアクセスを有効または無効にすることを強くお勧めします。そのためには、信頼されたサービスのコンソール、その または API オペレーションの同等のもののみを使用します。AWS CLIこれにより、必要なリソースの作成や、信頼されたアクセスを無効にする場合のリソースのクリーンアップなど、信頼されたアクセスを有効にするときに、信頼されたサービスで必要な初期化を実行できます。
信頼されたサービスを使用して、組織への信頼されたサービスアクセスを有効または無効にする方法については、 の「信頼されたアクセスのサポート」列にある [詳細はこちらAWS で使用できる のサービスAWS Organizations] リンクを参照してください。
組織コンソール、CLI コマンド、または API オペレーションを使用してアクセスを無効にすると、次のアクションが発生します。
-
このサービスでは、組織のアカウントでサービスにリンクされたロールを作成できなくなります。つまり、サービスは組織内の新しいアカウントに対してユーザーに代わってオペレーションを実行することはできません。サービスが AWS Organizations からのクリーンアップを完了するまで、サービスは古いアカウントでオペレーションを実行できます。
-
ロールにアタッチされた IAM ポリシーによってそれらのオペレーションが明示的に許可されている場合を除き、サービスは組織内のメンバーアカウントでタスクを実行できなくなります。これには、メンバーアカウントから管理アカウント、または関連する委任管理者アカウントへのデータ集約が含まれます。
-
一部のサービスではこれを検出し、統合に関連する残りのデータやリソースをクリーンアップします。また、組織へのアクセスは停止するものの、統合の再開をサポートするために履歴データや設定を残します。
代わりに、他のサービスのコンソールまたはコマンドを使用して統合を無効にすることで、統合にのみ必要なリソースを他のサービスでクリーンアップできます。サービスが組織のアカウント内のリソースをクリーンアップする方法は、そのサービスによって異なります。詳細については、他の AWS サービスのドキュメントを参照してください。
AWS Organizations とサービスにリンクされたロール
AWS Organizations では、IAM サービスにリンクされたロール
変更できるように、組織にアカウントを作成する場合、または組織への既存のアカウントの参加招待を承認する場合、AWS Organizations は、サービスにリンクされたロール
(AWSServiceRoleForOrganizations
) を使用してメンバーアカウントをプロビジョニングします。 このロールは、AWS Organizations サービス自体のみ引き受けることができます。ロールには、他の
AWS Organizations サービスのサービスにリンクされたロールを作成することを AWS に許可するアクセス許可が含まれています。このサービスにリンクされたロールは、すべての組織に存在します。
組織で一括請求機能のみ有効になっている場合、サービスにリンクされたロール (AWSServiceRoleForOrganizations
) は使用されないため、削除できます。ただし、推奨はされません。組織のすべての機能を後に有効にする場合はこのロールが必要になるため、復元する必要があります。次のチェックは、すべての機能を有効にするプロセスを開始するときに実行されます。
-
組織に参加するように招待された各メンバーアカウント – アカウント管理者は、すべての機能を有効にすることへの同意を求めるリクエストが送信されます。サービスにリンクされたロール (
organizations:AcceptHandshake
) が存在しない場合に適切にリクエストに同意するには、 アクセス許可とiam:CreateServiceLinkedRole
アクセス許可の両方が管理者に必要です。AWSServiceRoleForOrganizations
AWSServiceRoleForOrganizations
ロールが既に存在する場合、管理者がリクエストに同意するには、organizations:AcceptHandshake
アクセス権限のみが管理者に必要です。管理者がリクエストに同意すると、サービスにリンクされたロールが存在しない場合でも、AWS Organizations によって自動的に作成されます。 -
組織に作成された各メンバーアカウント – サービスにリンクされたロールの作成リクエストがアカウント管理者に送信されます。(メンバーアカウントの管理者には、すべての機能を有効にするリクエストが届きません。これは、管理アカウントの管理者が、作成されたメンバーアカウントの所有者と見なされるためです)。メンバーアカウント管理者がリクエストに同意すると、サービスにリンクされたロールが AWS Organizations によって作成されます。ハンドシェイクを正常に承諾するには、
organizations:AcceptHandshake
およびiam:CreateServiceLinkedRole
アクセス許可の両方が管理者に必要です。
組織内のすべての機能を有効にすると、サービスにリンクされたロール AWSServiceRoleForOrganizations
はどのアカウントからも削除できなくなります。
AWS Organizations サービスにリンクされたロールに SCPs が影響することはありません。これらのロールは、SCP 制限の対象外であるためです。