を他の AWS Organizations で使用する AWS のサービス - AWS Organizations
信頼されたアクセスを有効にするために必要なアクセス許可信頼されたアクセスを無効にするために必要なアクセス許可信頼されたアクセスを有効または無効にする方法AWS Organizations およびサービスにリンクされたロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を他の AWS Organizations で使用する AWS のサービス

信頼されたアクセスを使用して、信頼された AWS サービス と呼ばれる、指定したサポート対象サービスを有効にし、ユーザーに代わって組織とそのアカウントでタスクを実行できます。これには、信頼されたサービスに許可を付与する必要がありますが、ユーザーまたはロールの許可に影響はありません。アクセスを有効にすると、信頼されたサービスは、そのIAMロールが必要なときにいつでも、組織内のすべてのアカウントにサービスにリンクされたロールと呼ばれる ロールを作成できます。このロールには、信頼されたサービスを使用して、該当サービスのドキュメントに記載されているタスクの実行を可能にするアクセス許可ポリシーが含まれています。これにより、信頼されたサービスを使用して、ユーザーに代わって組織のアカウントで管理する設定や構成の詳細を指定できます。信頼されたサービスは、アカウントに対して管理アクションを実行する必要がある場合にのみ、サービスにリンクされたロールを作成します。必ずしも組織のすべてのアカウントで管理アクションを実行する必要はありません。

重要

オプションが使用可能な場合は、信頼されたサービスのコンソール、またはその AWS CLI または APIオペレーションの同等のもののみを使用して、信頼されたアクセスを有効または無効にすることを強くお勧めします。これにより、信頼できるアクセスの有効化に必要なすべての初期化処理が信頼できるサービスによって実行可能になります。例えば、必要なリソースの作成や、信頼できるアクセスの無効にする際のリソースのクリーンアップなどです。

信頼されたサービスを使用し、信頼されたサービスによる組織へのアクセスを有効または無効にする方法については、AWS のサービス で使用できる AWS Organizations の [Supports Trusted Access] (信頼されたアクセスをサポート) 列の [Learn more] (詳細はこちら) リンクを参照してください。

Organizations コンソール、CLIコマンド、またはAPIオペレーションを使用してアクセスを無効にすると、次のアクションが発生します。

  • そのサービスでは、サービスにリンクされたロールを組織のアカウントに作成できなくなります。つまり、組織の新しいアカウントに対するオペレーションをサービスがユーザーに代わって実行できなくなります。そのサービスによる AWS Organizationsのクリーンアップが完了するまでは、古いアカウントに対するオペレーションは引き続き実行可能です。

  • ロールにアタッチされているIAMポリシーによってこれらのオペレーションが明示的に許可されていない限り、サービスは組織のメンバーアカウントでタスクを実行できなくなります。これには、メンバーアカウントから管理アカウントまたは委任管理者アカウント (該当する場合) へのデータ集約が含まれます。

  • 一部のサービスはこれを検出し、統合に関連する残りのデータやリソースをクリーンアップします。一方、組織へのアクセスを停止するものの、統合を再び有効にする場合のために履歴データと設定を残しておくサービスもあります。

そうしたサービスであっても、コンソールまたはコマンドを使用して統合を無効にすると、その統合以外に用途のないリソースがクリーンアップされるようになります。組織のアカウントのリソースをクリーンアップする仕組みは、サービスによって異なります。詳しくは、 AWS の他のサービスのドキュメントを参照してください。

信頼されたアクセスを有効にするために必要なアクセス許可

信頼されたアクセスには、2 つのサービス、 AWS Organizations および信頼されたサービスに対するアクセス許可が必要です。信頼されたアクセスを有効にするには、次のいずれかのシナリオを選択します。

  • AWS Organizations と信頼されたサービスの両方にアクセス許可を持つ認証情報がある場合は、信頼されたサービスが提供するツール (コンソールまたは AWS CLI) を使用してアクセスを有効にします。これにより、サービスがユーザーに代わって AWS Organizations で信頼されたアクセスを有効にし、サービスが組織内で動作するために必要なリソースを作成できるようになります。

    これらの認証情報に必要な最小限のアクセス権限は次のとおりです。

    • organizations:EnableAWSServiceAccess。また、このオペレーションに organizations:ServicePrincipal 条件キーを使用し、承認されたサービスプリンシパル名のリストに対してオペレーションが行うリクエストを制限することもできます。詳細については、「条件キー」を参照してください。

    • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合に必要です。

    • 信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。

  • 1 人のユーザーが のアクセス許可を持つ認証情報を持っている AWS Organizations が、他の誰かが信頼されたサービスのアクセス許可を持つ認証情報を持っている場合は、以下の順序で次の手順を実行します。

    1. のアクセス許可を持つ認証情報を持つユーザーは、 AWS Organizations コンソール、 AWS CLI、または AWS SDK を使用して、信頼されたサービスの信頼されたアクセスを有効にする AWS Organizations 必要があります。これにより、次のステップ (ステップ 2) を実行すると、組織の必要な設定を実行するためのアクセス権限が他のサービスに付与されます。

      最小限の AWS Organizations アクセス許可は次のとおりです。

      • organizations:EnableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合にのみ必要です

      で信頼されたアクセスを有効にする手順については AWS Organizations、「」を参照してください信頼されたアクセスを有効または無効にする方法

    2. 信頼されたサービスのアクセス許可を含む認証情報をユーザーに設定すると、そのサービスで AWS Organizationsを操作できます。これにより、信頼されたサービスを使用して、組織で操作するために必要なリソースの作成など、必要な初期化を行うようサービスに指示されます。詳細については、サービス固有の手順 (AWS のサービス で使用できる AWS Organizations) を参照してください。

信頼されたアクセスを無効にするために必要なアクセス許可

信頼されたサービスを使用して、組織またはそのアカウントで操作する必要がなくなった場合は、次のいずれかのシナリオを選択します。

重要

サービスへの信頼されたアクセスを無効にすると、適切なアクセス権限を含むユーザーやロールは、そのサービスを使用できなくなります。ユーザーとロールが AWS サービスにアクセスすることを完全にブロックするには、そのアクセスを許可するアクセスIAM許可を削除するか、 でサービスコントロールポリシー (SCPs) を使用できます AWS Organizations。

メンバーアカウントSCPsにのみ適用できます。SCPs は管理アカウントには適用されません。管理アカウントではサービスを実行しないことをお勧めします。代わりに、 を使用してセキュリティを制御できるメンバーアカウントで実行しますSCPs。

  • AWS Organizations と信頼されたサービスの両方にアクセス許可を持つ認証情報がある場合は、信頼されたサービスで使用できるツール (コンソールまたは AWS CLI) を使用してアクセスを無効にします。無効になると、サービスは、ユーザーの代わりに、不要になったリソースを削除し、 AWS Organizations のサービスの信頼されたアクセスを無効にしてクリーンアップします。

    これらの認証情報に必要な最小限のアクセス権限は次のとおりです。

    • organizations:DisableAWSServiceAccess。また、このオペレーションに organizations:ServicePrincipal 条件キーを使用し、承認されたサービスプリンシパル名のリストに対してオペレーションが行うリクエストを制限することもできます。詳細については、「条件キー」を参照してください。

    • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合に必要です。

    • 信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。

  • のアクセス許可を持つ認証情報 AWS Organizations が、信頼されたサービスのアクセス許可を持つ認証情報ではない場合は、以下の順序で次の手順を実行します。

    1. まず、信頼されたサービスのアクセス権限を含むユーザーを使用して、このサービスを使用するアクセスを無効にします。これにより、信頼されたアクセスに必要なリソースを削除してクリーンアップするよう、信頼されたサービスに指示されます。詳細については、サービス固有の手順 (AWS のサービス で使用できる AWS Organizations) を参照してください。

    2. のアクセス許可を持つユーザーは、コンソール、または AWS SDKを使用して AWS CLI、信頼された AWS Organizations サービスのアクセスを無効に AWS Organizations できます。これにより、信頼されたサービスのアクセス許可は、組織やそのアカウントより削除されます。

      最小限の AWS Organizations アクセス許可は次のとおりです。

      • organizations:DisableAWSServiceAccess

      • organizations:ListAWSServiceAccessForOrganization – AWS Organizations コンソールを使用する場合にのみ必要です

      で信頼されたアクセスを無効にする手順については AWS Organizations、「」を参照してください信頼されたアクセスを有効または無効にする方法

信頼されたアクセスを有効または無効にする方法

にのみアクセス許可があり AWS Organizations 、他の AWS サービスの管理者に代わって組織への信頼されたアクセスを有効または無効にする場合は、次の手順を使用します。

重要

オプションが使用可能な場合は、信頼されたサービスのコンソール、またはその AWS CLI または APIオペレーションの同等のもののみを使用して、信頼されたアクセスを有効または無効にすることを強くお勧めします。これにより、信頼できるアクセスの有効化に必要なすべての初期化処理が信頼できるサービスによって実行可能になります。例えば、必要なリソースの作成や、信頼できるアクセスの無効にする際のリソースのクリーンアップなどです。

信頼されたサービスを使用し、信頼されたサービスによる組織へのアクセスを有効または無効にする方法については、AWS のサービス で使用できる AWS Organizations の [Supports Trusted Access] (信頼されたアクセスをサポート) 列の [Learn more] (詳細はこちら) リンクを参照してください。

Organizations コンソール、CLIコマンド、またはAPIオペレーションを使用してアクセスを無効にすると、次のアクションが発生します。

  • そのサービスでは、サービスにリンクされたロールを組織のアカウントに作成できなくなります。つまり、組織の新しいアカウントに対するオペレーションをサービスがユーザーに代わって実行できなくなります。そのサービスによる AWS Organizationsのクリーンアップが完了するまでは、古いアカウントに対するオペレーションは引き続き実行可能です。

  • ロールにアタッチされているIAMポリシーによってこれらのオペレーションが明示的に許可されていない限り、サービスは組織のメンバーアカウントでタスクを実行できなくなります。これには、メンバーアカウントから管理アカウントまたは委任管理者アカウント (該当する場合) へのデータ集約が含まれます。

  • 一部のサービスはこれを検出し、統合に関連する残りのデータやリソースをクリーンアップします。一方、組織へのアクセスを停止するものの、統合を再び有効にする場合のために履歴データと設定を残しておくサービスもあります。

そうしたサービスであっても、コンソールまたはコマンドを使用して統合を無効にすると、その統合以外に用途のないリソースがクリーンアップされるようになります。組織のアカウントのリソースをクリーンアップする仕組みは、サービスによって異なります。詳細については、他の AWS サービスのドキュメントを参照してください。

AWS Management Console
信頼されたサービスのアクセスを有効にするには

  1. AWS Organizations コンソール にサインインします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

  2. サービスページで、有効にするサービスの行を探し、その名前を選択します。

  3. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  4. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) チェックボックスをオンにし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  5. アクセスを有効にする場合は、他の AWS サービスの管理者に、他の のサービスが と連携できるようになったことを知らせます AWS Organizations。

信頼されたサービスのアクセスを無効にするには

  1. AWS Organizations コンソール にサインインします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (推奨されません) としてサインインする必要があります。

  2. サービスページで、無効にするサービスの行を探し、その名前を選択します。

  3. もう一方のサービスの管理者から、サービスが無効になり、そのリソースのクリーンアップが完了したことが知らされるまで待ちます。

  4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

AWS CLI, AWS API
信頼されたサービスのアクセスを有効または無効にするには

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスアクセスを有効または無効にできます。

AWS Organizations およびサービスにリンクされたロール

AWS Organizations はIAM、サービスにリンクされたロールを使用して、信頼されたサービスが組織のメンバーアカウントでユーザーに代わってタスクを実行できるようにします。信頼されたサービスを設定して、組織との統合のためにそのサービスを承認すると、サービスにリンクされたロールをメンバーアカウントに作成するようにそのサービスから AWS Organizations にリクエストできます。信頼されたサービスによって必要に応じて非同期的に行われますが、組織のすべてのアカウントで必ずしも同時に必要とは限りません。サービスにリンクされたロールには、信頼されたサービスがそのアカウント内の特定のタスクのみを実行できるようにする事前定義されたIAMアクセス許可があります。一般的に、サービスにリンクされたロールはすべて AWS によって管理されます。つまり、通常、ロールまたはアタッチされたポリシーを変更することはできません。

こうした変更を行えるようにするため、組織内にアカウントを作成するとき、または組織への既存のアカウントの招待が承諾されたときに、 AWS Organizations は、サービスにリンクされたロール (AWSServiceRoleForOrganizations) を使用してメンバーアカウントをプロビジョニングします。このロールを引き受けることができるのは、 AWS Organizations サービス自体のみです。ロールには、 が他の のサービスにリンクされたロールを作成 AWS Organizations できるようにするアクセス許可があります AWS のサービス。このサービスにリンクされたロールは、すべての組織に存在します。

組織で一括請求機能のみ有効になっている場合、サービスにリンクされたロール (AWSServiceRoleForOrganizations) は使用されないため、削除できます。ただし、推奨はされません。組織のすべての機能を後に有効にする場合はこのロールが必要になるため、復元する必要があります。次のチェックは、すべての機能を有効にするプロセスを開始するときに実行されます。

  • 組織に参加するように招待された各メンバーアカウント - アカウント管理者には、すべての機能を有効にすることへの同意を求めるリクエストが送信されます。サービスにリンクされたロール (AWSServiceRoleForOrganizations) が存在しない場合に適切にリクエストに同意するには、organizations:AcceptHandshake 許可および iam:CreateServiceLinkedRole 許可の両方がアカウント管理者に必要です。AWSServiceRoleForOrganizations ロールが既に存在する場合、管理者がリクエストに同意するには、organizations:AcceptHandshake アクセス権限のみが管理者に必要です。管理者がリクエストに同意すると、サービスにリンクされたロールがまだ存在しない場合は AWS Organizations によって作成されます。

  • 組織に作成された各メンバーアカウント - サービスにリンクされたロールの再作成リクエストがアカウント管理者に送信されます。(メンバーアカウントの管理者には、すべての機能を有効にするリクエストが届きません。これは、管理アカウント (旧称は「マスターアカウント」) の管理者が、作成されたメンバーアカウントの所有者と見なされるためです)。サービスにリンクされたロールは、メンバーアカウント管理者がリクエストに同意すると AWS Organizations によって作成されます。ハンドシェイクを適切に承諾するには、organizations:AcceptHandshake アクセス権限と iam:CreateServiceLinkedRole アクセス権限の両方が管理者に必要です。

組織内のすべての機能を有効にすると、サービスにリンクされたロール AWSServiceRoleForOrganizations はどのアカウントからも削除できなくなります。

重要

AWS Organizations SCPs サービスにリンクされたロールには影響しません。これらのロールはSCP制限の対象外です。