AWS Organizations を AWS の他のサービスと併用する - AWS Organizations

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Organizations を AWS の他のサービスと併用する

信頼されたアクセスを使用して、指定した AWS サービス (信頼されたサービスと呼ばれる) を有効にできます。これにより、組織とそのアカウントのタスクを代理で実行できるようになります。このためには、信頼されたサービスにアクセス許可を付与する必要がありますが、IAM ユーザーまたはロールのアクセス権限に影響はありません。アクセスを有効にすると、信頼されたサービスを使用して、組織の各アカウントに IAM ロール (サービスにリンクされたロールと呼ばれる) を必要なときに作成できます。このロールには、信頼されたサービスを使用して、該当サービスのドキュメントに記載されているタスクの実行を可能にするアクセス許可ポリシーが含まれています。これにより、信頼されたサービスを使用して、ユーザーに代わって組織のアカウントで管理する設定や構成の詳細を指定できます。信頼されたサービスは、アカウントに対して管理アクションを実行する必要がある場合にのみ、サービスリンクされたロールを作成します。必ずしも組織のすべてのアカウントで管理アクションを実行する必要はありません。

重要

信頼されたアクセスを有効にするには、信頼されたサービスのコンソール、 AWS CLI 、または のいずれかの API オペレーションを使用することをお勧めしますAWSSDKs。 これにより、信頼されたサービスを使用して、必要な初期化または必要なリソースの作成を行うことができます。信頼されたサービスで行われる設定を確認するには、そのサービスのドキュメントを参照してください。

信頼されたアクセスを有効にするために必要なアクセス許可

信頼されたアクセスを使用するには、2 つのサービス (AWS Organizations と信頼されたサービス) のアクセス権限が必要です。信頼されたアクセスを有効にするには、次のいずれかのシナリオを選択します。

  • AWS Organizations と信頼されたサービスの両方にアクセス許可がある認証情報が設定されている場合、信頼されたサービスで利用できるツール (コンソールまたは AWS CLI) を使用してアクセスを有効化します。これにより、信頼されたサービスを使用して、組織で操作できるように、ユーザーに代わって AWS Organizations で信頼されたアクセスを有効にし、サービスに必要なリソースを作成します。

    これらの認証情報に必要な最小限のアクセス権限は次のとおりです。

    • organizations:EnableAWSServiceAccess。 また、このオペレーションでorganizations:ServicePrincipal条件キーを使用して、承認されたサービスプリンシパル名のリストに対するオペレーションのリクエストを制限することもできます。詳細については、条件キー を参照してください。

    • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合は必須

    • 信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。

  • AWS Organizations のアクセス権限を含む認証情報が設定されているユーザーと、信頼されたサービスのアクセス権限を含む認証情報が設定されているユーザーがいる場合は、以下のステップをこの順序で実行します。

    1. AWS Organizations のアクセス権限を含む認証情報がユーザーに設定されている場合は、AWS Organizations コンソール、AWS CLI、または AWS SDK を使用して、信頼されたサービスの信頼されたアクセスを有効にします。これにより、次のステップ (ステップ 2) を実行すると、組織の必要な設定を実行するためのアクセス権限が他のサービスに付与されます。

      AWS Organizations の最小限のアクセス権限は次のとおりです。

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合のみ必須

      AWS Organizations で信頼されたアクセスを有効にする特定のステップについては、「信頼されたアクセスを有効または無効にする方法」を参照してください。

    2. 信頼されたサービスのアクセス許可を含む認証情報をユーザーに設定すると、そのサービスで AWS Organizations を操作できます。これにより、信頼されたサービスを使用して、組織で操作するために必要なリソースの作成など、必要な初期化を行うようサービスに指示されます。詳細については、サービス固有の手順 (AWS Organizations で使用できる AWS のサービス) を参照してください。

信頼されたアクセスを無効にするために必要なアクセス許可

信頼されたサービスを使用して、組織またはそのアカウントで操作する必要がなくなった場合は、次のいずれかのシナリオを選択します。

重要

サービスへの信頼されたアクセスを無効にすると、適切なアクセス権限を含むユーザーやロールは、そのサービスを使用できなくなります。ユーザーやロールによる AWS サービスへのアクセスを完全に無効にするには、該当アクセスを付与する IAM アクセス権限を削除するか、AWS Organizations のサービスコントロールポリシー (SCP) を使用します。

  • AWS Organizations と信頼されたサービスの両方にアクセス許可がある認証情報が設定されている場合には、信頼されたサービスで利用できるツール (コンソールまたは AWS CLI) を使用してアクセスを無効化します。無効になると、サービスは、ユーザーの代わりに、不要になったリソースを削除し、AWS Organizations のサービスの信頼されたアクセスを無効にしてクリーンアップします。

    これらの認証情報に必要な最小限のアクセス権限は次のとおりです。

    • organizations:DisableAWSServiceAccess。 また、このオペレーションでorganizations:ServicePrincipal条件キーを使用して、承認されたサービスプリンシパル名のリストに対するオペレーションのリクエストを制限することもできます。詳細については、条件キー を参照してください。

    • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合は必須

    • 信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。

  • AWS Organizations のアクセス権限を含む認証情報と、信頼されたサービスのアクセス権限を含む認証情報が異なる場合は、以下のステップをこの順序で実行します。

    1. まず、信頼されたサービスのアクセス権限を含むユーザーを使用して、このサービスを使用するアクセスを無効にします。これにより、信頼されたアクセスに必要なリソースを削除してクリーンアップするよう、信頼されたサービスに指示されます。詳細については、サービス固有の手順 (AWS Organizations で使用できる AWS のサービス) を参照してください。

    2. これで、AWS Organizations のアクセス権限を含むユーザーは、AWS Organizations コンソール、AWS CLI、または AWS SDK を使用して、信頼されたサービスのアクセスを無効にできるようになります。これにより、信頼されたサービスのアクセス許可は、組織やそのアカウントより削除されます。

      AWS Organizations の最小限のアクセス権限は次のとおりです。

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合のみ必須

      AWS Organizations で信頼されたアクセスを無効にする特定のステップについては、信頼されたアクセスを有効または無効にする方法を参照してください。

信頼されたアクセスを有効または無効にする方法

AWS Organizations のアクセス許可のみ付与されており、他の AWS サービスの管理者の代わりに、組織への信頼されたアクセスを有効または無効にする場合は、次の手順を使用します。

AWS マネジメントコンソール

サービスへの信頼されたアクセスを有効または無効にするには

  1. AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) にサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、組織の 管理アカウント でルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. 右上隅の [設定] を選択します。

  3. アクセスを有効にする場合は、次のステップに進みます。アクセスを無効にする場合は、サービスが無効になり、リソースがクリーンアップされたと管理者から連絡を受けるまで待機します。

  4. [AWS のサービスに対する信頼されたアクセス] セクションで、必要なサービスを検索し、必要に応じて [アクセスの有効化] または [アクセスの無効化] を選択します。

  5. アクセスを有効にする場合は、他のサービスで AWS Organizations を操作できるようになったことを他の AWS サービスの管理者に伝えます。

AWS CLI, AWS API

サービスへの信頼されたアクセスを有効または無効にするには

サービスへの信頼されたアクセスを有効または無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

AWS Organizations とサービスにリンクされたロール

AWS Organizations では、IAM サービスにリンクされたロールを使用して、信頼されたサービスが組織のメンバーアカウントで自動的にタスクを実行できるようにします。信頼されたサービスを設定して、組織との統合のためにそのサービスを承認すると、サービスにリンクされたロールをメンバーアカウントに作成するようにそのサービスから AWS Organizations にリクエストできます。信頼されたサービスによって必要に応じて非同期的に行われますが、組織のすべてのアカウントで必ずしも同時に必要とは限りません。サービスにリンクされたロールには、信頼されたサービスを使用して、そのアカウント内の特定のタスクのみを実行することを許可するアクセス権限が事前定義されています。IAM一般的に、サービスにリンクされたロールはすべて AWS によって管理されます。つまり、通常、ロールまたはアタッチされたポリシーを変更することはできません。

変更できるように、組織にアカウントを作成する場合、または組織への既存のアカウントの参加招待を承認する場合、 AWS Organizationsは、 という名前のサービスにリンクされたロールを使用してメンバーアカウントをプロビジョニングAWSServiceRoleForOrganizationsします。 このロールは、 AWS Organizations サービス自体のみ引き受けることができます。ロールには、他の サービスのサービスにリンクされたロールを作成することAWS Organizationsを に許可するアクセス権限が含まれています。AWSこのサービスにリンクされたロールは、すべての組織に存在します。

組織で一括請求機能のみ有効になっている場合、サービスにリンクされたロール (AWSServiceRoleForOrganizations) は使用されないため、削除できます。ただし、推奨はされません。組織のすべての機能を後に有効にする場合はこのロールが必要になるため、復元する必要があります。次のチェックは、すべての機能を有効にするプロセスを開始するときに実行されます。

  • 組織に参加するように招待された各メンバーアカウント – アカウント管理者は、すべての機能を有効にすることへの同意を求めるリクエストが送信されます。サービスにリンクされたロール (AWSServiceRoleForOrganizations) が存在しない場合に適切にリクエストに同意するには、organizations:AcceptHandshake 権限および iam:CreateServiceLinkedRole 権限の両方がアカウント管理者に必要です。AWSServiceRoleForOrganizations ロールが既に存在する場合、管理者がリクエストに同意するには、organizations:AcceptHandshake アクセス権限のみが管理者に必要です。管理者がリクエストに同意すると、サービスにリンクされたロールが存在しない場合でも、AWS Organizations によって自動的に作成されます。

  • 組織に作成された各メンバーアカウント – サービスにリンクされたロールの作成リクエストがアカウント管理者に送信されます。管理アカウントの管理者が、作成されたメンバーアカウントの所有者と見なされるため、メンバーアカウントの管理者にはすべての機能を有効にするリクエストが届きません。メンバーアカウント管理者がリクエストに同意すると、 AWS Organizationsによってサービスにリンクされたロールが作成されます。ハンドシェイクを適切に承諾するには、organizations:AcceptHandshake アクセス権限と iam:CreateServiceLinkedRole アクセス権限の両方が管理者に必要です。

組織内のすべての機能を有効にすると、サービスにリンクされたロール AWSServiceRoleForOrganizations はどのアカウントからも削除できなくなります。

重要

AWS OrganizationsSCPsがサービスにリンクされたロールに影響を及ぼすことはありません。これらのロールは、SCP 制限の対象外であるためです。