を使用して組織のメンバーアカウントにアクセスする AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用して組織のメンバーアカウントにアクセスする AWS Organizations

組織内でルートユーザーに加えてアカウントを作成する場合、 AWS Organizations は、デフォルトで という名前の IAMロールを自動的に作成しますOrganizationAccountAccessRole。名前は作成時に個別に指定できますが、アカウント全体で一貫性のある名前を使用することをお勧めします。 AWS Organizations は、他のユーザーやロールを作成しません。

組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。

ルートユーザーの使用 (日常的なタスクには推奨されません)

を作成する場合 AWS アカウントでは、すべての への完全なアクセス権を持つ 1 つのサインイン ID から始めます。 AWS のサービス アカウントの および リソース。この ID は と呼ばれます。 AWS アカウント root ユーザー と には、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることでアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「 IAMユーザーガイド」の「ルートユーザーの認証情報を必要とするタスク」を参照してください。ルートユーザーセキュリティに関するその他の推奨事項については、「 のルートユーザーのベストプラクティス」を参照してください。 AWS アカウント.

IAMロールの使用 OrganizationAccountAccessRole

の一部として提供されるツールを使用してアカウントを作成する場合 AWS Organizations、この方法で作成したすべての新しいアカウントOrganizationAccountAccessRoleに存在する という名前の事前設定済みロールを使用してアカウントにアクセスできます。詳細については、「 OrganizationAccountAccessRole で を持つメンバーアカウントへのアクセス AWS Organizations」を参照してください。

既存のアカウントを組織に招待し、そのアカウントが招待を受け入れる場合は、管理アカウントが招待されたメンバーアカウントにアクセスできるようにする IAM ロールを作成できます。このロールは、 で作成されたアカウントに自動的に追加されたロールと同じであることが意図されています。 AWS Organizations。 このロールを作成するには、「」を参照してくださいで招待 OrganizationAccountAccessRole されたアカウントの を作成する AWS Organizations。ロールの作成が完了したら、「 OrganizationAccountAccessRole で を持つメンバーアカウントへのアクセス AWS Organizations」のステップを使用してアクセスできます。

IAM Identity Center への信頼されたアクセスの使用

を使用します。AWS IAM Identity Center と で IAM Identity Center の信頼されたアクセスを有効にする AWS Organizations。 これにより、ユーザーは にサインインできます。 AWS 社内の認証情報を使用して アクセスポータルにアクセスし、割り当てられた管理アカウントまたはメンバーアカウントのリソースにアクセスします。

詳細については、「」の「マルチアカウントアクセス許可」を参照してください。 AWS IAM Identity Center ユーザーガイド。IAM Identity Center の信頼されたアクセスの設定については、「」を参照してくださいAWS IAM Identity Center および AWS Organizations

最小アクセス許可

にアクセスするには AWS アカウント 組織内の他のアカウントの には、次のアクセス許可が必要です。

  • sts:AssumeRole - Resource 要素は、アスタリスク (*) に設定するか、新しいメンバーアカウントにアクセスする必要のあるユーザーが含まれるアカウントのアカウント ID 番号に設定する必要があります。