メニュー
AWS Organizations
ユーザーガイド

組織のメンバーアカウントへのアクセスと管理

組織のアカウントを作成すると、AWS Organizations によって、ルートユーザーと IAM ロールが自動的に作成されます。ただし、AWS Organizations では IAM ユーザー、グループ、その他のロールは作成されません。組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。

最小限必要なアクセス権限

組織の別のアカウントから AWS アカウントにアクセスするには、次のアクセス権限が必要です。

  • sts:AssumeRoleResource 要素は、アスタリスク (*) または新しいメンバーアカウントにアクセスする必要のあるユーザーのアカウントのアカウント ID 番号のいずれかに設定する必要があります。

ルートユーザーとしてのメンバーアカウントへのアクセス

アカウントを作成すると、AWS Organizations ではまず、文字長が最低でも 64 文字のパスワードをルートユーザーに割り当てます。すべての文字はランダムに生成され、特定の文字セットが登場する保証もありません。この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。

コメント

  • ベストプラクティスとして、ルートユーザーは、アクセス許可を制限した他のユーザーやロールの作成にのみ使用し、それ以外のアカウントへのアクセスには使用しないことをお勧めします。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。

  • また、ルートユーザーに多要素認証 (MFA) を設定することをお勧めします。パスワードをリセットし、root ユーザーに MFA デバイスを割り当てることができます

メンバーアカウントの root ユーザーの新しいパスワードをリクエストするには (コンソール)

  1. AWS コンソール (https://console.aws.amazon.com/) の [サインイン] ページに移動します。すでに AWS にサインインしている場合は、サインアウトしてサインインページに移動する必要があります。

  2. [サインイン] ページに [アカウント ID またはエイリアス]、[IAM ユーザー名]、[パスワード] の 3 つのテキストボックスが表示されている場合は、次に [Sign-in using root account credentials (ルートアカウントの資格情報を使ってサインイン)] を選択します。

  3. AWS アカウントに関連付けられている E メールアドレスを入力し、[次へ] を選択します。

  4. [パスワードをお忘れですか?] を選択し、新しいパスワードにリセットするために必要な情報を入力します。これを行うには、アカウントに関連付けられている E メールアドレスに送信されるメールにアクセスできる必要があります。

招待されたメンバーアカウントの OrganizationAccountAccessRole の作成

デフォルトでは、組織の一部としてメンバーアカウントを作成すると、AWS によって、マスターアカウントの委任された IAM ユーザーに管理者のアクセス許可を付与するアカウントのロールが自動的に作成されます。デフォルトでは、そのロールの名前は OrganizationAccountAccessRole です。詳細については、「マスターアカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

ただし、組織に招待するメンバーアカウントによって、管理者ロールが自動的に作成されることはありません。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (OrganizationAccountAccessRole) を使用されることをお勧めします。

メンバーアカウントの AWS Organizations 管理者ロールを作成するには (コンソール)

  1. https://console.aws.amazon.com/iam/ の IAM コンソールにサインインします。IAM ロールおよびポリシーを作成する権限を持つメンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、またはルートユーザー (推奨されません) としてサインインする必要があります。

  2. IAM コンソールで、[ロール] に移動し、[ロールの作成] を選択します。

  3. [Another AWS account] を選択します。

  4. 管理者権限を付与するマスターアカウントの 12 桁のアカウント ID 番号を入力します。

  5. このロールの場合、アカウントは組織の内部で使用されるため、[Require external ID] は選択しないでください。外部 ID オプションの詳細については、「外部 ID を使用する必要性」(『IAM User Guide』)を参照してください。

  6. MFA が有効化され設定されている場合は、オプションで、MFA デバイスを使用した認証を求めるように設定できます。MFA の詳細については、『IAM User Guide』の「AWS での多要素認証 (MFA) の使用」を参照してください。

  7. [Attach permissions policies (アクセス権限ポリシーをアタッチする)] ページで、AdministratorAccess という名前の AWS 管理ポリシーを選択し、[Next: Review (次へ: 確認)] を選択します。

  8. [Review] ページで、ロール名と説明 (オプション) を指定します。OrganizationAccountAccessRole を使用されることをお勧めします。このロールの名前はデフォルトの名前として、新しいアカウントのロールに割り当てられます。変更をコミットするには、[ロールの作成] を選択します。

  9. 新しいロールが、使用可能なロールのリストに表示されます。新しいロールの名前を選択して詳細を表示します。その際、表示されるリンクの URL に注意します。ロールへのアクセスが必要なメンバーアカウントのユーザーにこの URL を通知します。また、ステップ 15 で必要になる [ロール ARN] も書き留めます。

  10. https://console.aws.amazon.com/iam/ の IAM コンソールにサインインします。今回は、ポリシーを作成し、そのポリシーをユーザーまたはグループに割り当てる権限を持つマスターアカウントのユーザーとしてサインインします。

  11. [ポリシー] に移動し、[ポリシーの作成] を選択します。

    注記

    この例では、ポリシーを作成し、グループへアタッチする方法について説明します。他のアカウントに対してこのポリシーをすでに作成した場合は、ステップ 19 に進みます。

  12. [Service] で、[STS] を選択します。

  13. [アクション] で、[フィルタ] ボックスに「AssumeRole」と入力し始め、表示されたら、その横にチェックボックスをオンにします。

  14. [リソース] を選択し、[指定] が選択されていることを確認して、[ARN の追加] を選択します。

  15. AWS メンバーアカウント ID 番号を入力し、ステップ 1 ~ 9 で以前に作成したロールの名前を入力します。

  16. 複数のメンバーアカウントのロールを引き受けるためのアクセス権限を付与する場合は、アカウントごとにステップ 14 と 15 を繰り返します。

  17. [ポリシーの確認] を選択します。

  18. 新しいポリシーの名前を入力し、[ポリシーの作成] を選択して変更を保存します。

  19. ナビゲーションペインで [グループ] を選択し、メンバーアカウントの管理を委任するグループの名前 (チェックボックスではない) を選択します。

  20. [Attach Policy (ポリシーのアタッチ)] を選択し、ステップ 11 – 18 で作成したポリシーを選択して、[Attach Policy (ポリシーのアタッチ)] を選択します。

選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URL より、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「マスターアカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

マスターアカウントのアクセスロールを持つメンバーアカウントへのアクセス

AWS Organizations コンソールを使用してメンバーアカウントを作成すると、AWS Organizations によって、アカウントの IAM ロールが自動的に作成されます。このロールには、メンバーアカウントの完全な管理権限が含まれます。また、このロールにも、組織のマスターアカウントへのアクセス権限が付与されています。招待されたメンバーアカウントと同一のロールを作成するには、「招待されたメンバーアカウントの OrganizationAccountAccessRole の作成」のステップを実行します。このロールを使用してメンバーアカウントにアクセスするには、ロールを引き受けるアクセス権限を持つマスターアカウントからサインインする必要があります。このアクセス権限を設定するには、次の手順を行います。メンテナンスしやすいように、アクセス権限は、ユーザーではなくグループに付与することをお勧めします。

マスターアカウントの IAM グループのメンバーにアクセス権限を付与してロールにアクセスするには (コンソール)

  1. マスターアカウントの管理者権限を持つユーザーとして、https://console.aws.amazon.com/iam/ の IAM コンソールにサインインします。これは、メンバーアカウントのロールにアクセスするユーザーが属する IAM グループにアクセス権限を委任するために必要です。

  2. ナビゲーションペインで、[グループ] を選択してから、メンバーアカウントのロールを引き受けるメンバーが属するグループの名前 (チェックボックスではない) を選択します。必要に応じて、新しいグループを作成できます。

  3. [アクセス権限] タブを選択して、[インラインポリシー] セクションを展開します。

  4. インラインポリシーが存在しない場合は、[click here] を選択して作成します。それ以外の場合は、[Create Group Policy] を選択します。

  5. [Policy Generator] の横の [Select] をクリックします。

  6. [Edit Permissions] ページで、以下のオプションを設定します。

    • [Effect] で、[Allow] を選択します。

    • [AWS Service] で、[AWS Security Token Service] をクリックします。

    • [Actions] で、[AssumeRole] を選択します。

    • [Amazon リソースネーム (ARN)] に、対象アカウントで作成されたロールの ARN を入力します。ロールの [概要] ページの IAM コンソールに、ARN が表示されます。この ARN を設定するには、次のテンプレートを使用します。

      arn:aws:iam::accountIdNumber:role/rolename

      アカウント作成時に設定したメンバーアカウントのアカウント ID 番号とロール名を置き換えます。ロールの名前を指定していない場合は、デフォルトで OrganizationAccountAccessRole に設定されます。ARN は次のようになります。

      arn:aws:iam::123456789012:role/OrganizationAccountAccessRole

  7. [ステートメントを追加]、[次のステップ] の順に選択します。

  8. [Review Policy] ページで、ロールの ARN が正しいことを確認します。新しいポリシーの名前を入力し、[ポリシーの適用] を選択します。

    これで、グループのメンバーである IAM ユーザーに、次の手順に従って AWS Organizations コンソールで新しいロールに切り替えられるアクセス権限が付与されました。

メンバーのアカウントのロールに切り替えるには (コンソール)

ロールを使用する際、ユーザーは、新しいメンバーアカウントの管理者権限が付与されます。グループのメンバーである IAM ユーザーに、以下を実行して新しいロールに切り替えるように指示します。

  1. AWS Organizations コンソールの右上隅で、現在のサインイン名を含むリンクをクリックし、[ロールの切り替え] を選択します。

  2. 管理者から提供されたアカウント ID 番号とロール名を入力します。

  3. [表示名] で、ロール使用時にユーザー名の代わりに右上隅のナビゲーションバーに表示する文字列を入力します。オプションで色を選択することもできます。

  4. [Switch Role] を選択します。これで、実行するアクションはすべて、切り替えたロールに付与されているアクセス権限で行われるようになりました。アクセス権限を戻さない限り、オリジナルの IAM ユーザーに関連付けられているアクセス権限を使用することはできません。

  5. ロールのアクセス権限を必要とするアクションの実行が完了したら、通常の IAM ユーザーに戻すことができます。右上隅のロール名 ([表示名] として指定した名前) を選択して、[ユーザー名 に戻る] を選択します。

その他のリソース