組織のメンバーアカウントへのアクセスと管理 - AWS Organizations

組織のメンバーアカウントへのアクセスと管理

組織でアカウントを作成すると、ルートユーザーに加えて、AWS Organizations はデフォルトで OrganizationAccountAccessRole という名前の IAM ロールを自動的に作成します。作成時に名前を指定できます。このガイドでは、ロールをデフォルトの名前で参照しています。ただし、AWS Organizations では IAM ユーザー、グループ、その他のロールは作成されません。組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。

最小限必要なアクセス権限

組織の別のアカウントから AWS アカウントにアクセスするには、次のアクセス権限が必要です。

  • sts:AssumeRoleResource要素は、アスタリスク (*) または新しいメンバーアカウントにアクセスする必要のあるユーザーのアカウントのアカウント ID 番号のいずれかに設定する必要があります。

ルートユーザーとしてのメンバーアカウントへのアクセス

新しいアカウントを作成すると、AWS Organizations ではまず、文字長が最低でも 64 文字のパスワードを root ユーザーに割り当てます。すべての文字はランダムに生成され、特定の文字セットが登場する保証もありません。この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。

コメント
  • ベストプラクティスとして、ルートユーザーは、アクセス許可を制限した他のユーザーやロールの作成にのみ使用し、それ以外のアカウントへのアクセスには使用しないことをお勧めします。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。

  • また、ルートユーザーに多要素認証 (MFA) を設定することをお勧めします。パスワードをリセットし、root ユーザーに MFA デバイスを割り当てることができます

  • 正しくない E メールアドレスを使用して組織のメンバーアカウントを作成すると、ルートユーザーとしてアカウントにサインインできません。詳細については、AWS の請求とサポートにお問い合わせください。

メンバーアカウントの root ユーザーの新しいパスワードをリクエストするには (コンソール)

  1. AWS コンソール (https://console.aws.amazon.com/) の [サインイン] ページに移動します。すでに AWS にサインインしている場合は、サインアウトしてサインインページに移動する必要があります。

  2. [サインイン] ページに [アカウント ID またはエイリアス]、[IAM ユーザー名]、[パスワード] の 3 つのテキストボックスが表示されている場合は、次に [Sign-in using root account credentials (ルートアカウントの資格情報を使ってサインイン)] を選択します。

  3. AWS アカウントに関連付けられている E メールアドレスを入力し、[次へ] を選択します。

  4. [パスワードをお忘れですか?] を選択し、新しいパスワードにリセットするために必要な情報を入力します。これを行うには、アカウントに関連付けられている E メールアドレスに送信されるメールにアクセスできる必要があります。

招待されたメンバーアカウントの OrganizationAccountAccessRole の作成

デフォルトでは、組織の一部としてメンバーアカウントを作成すると、AWS によって、マスターアカウントの委任された IAM ユーザーに管理者のアクセス許可を付与するアカウントのロールが自動的に作成されます。デフォルトでは、そのロールの名前は OrganizationAccountAccessRole です。詳細については、マスターアカウントのアクセスロールを持つメンバーアカウントへのアクセスを参照してください。

ただし、組織に招待するメンバーアカウントによって、管理者ロールが自動的に作成されることはありません。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (OrganizationAccountAccessRole) を使用されることをお勧めします。

メンバーアカウントの AWS Organizations 管理者ロールを作成するには (コンソール)

  1. https://console.aws.amazon.com/iam/ で IAM コンソールにサインインします。IAM ロールおよびポリシーを作成する権限を持つメンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、またはルートユーザー (推奨されません) としてサインインする必要があります。

  2. IAM コンソールで、[ロール] に移動し、[ロールの作成] を選択します。

  3. [Another AWS account] を選択します。

  4. 管理者権限を付与するマスターアカウントの 12 桁のアカウント ID 番号を入力して、[次のステップ: アクセス権限] を選択します。

    このロールの場合、アカウントは組織の内部で使用されるため、[Require external ID] は選択しないでください。外部 ID オプションの詳細については、IAM ユーザーガイドの「外部 ID を使用する必要性」を参照してください。

  5. MFA が有効化され設定されている場合は、オプションで、MFA デバイスを使用した認証を求めるように設定できます。MFA の詳細については、『IAM ユーザーガイド』の「AWS での多要素認証 (MFA) の使用」を参照してください。

  6. [アクセス権限ポリシーをアタッチする] のページで、AdministratorAccess という名前の AWS 管理ポリシーを選択し、[次のステップ: タグ] を選択します。

  7. [タグの追加 (オプション)] ページで、[Next: Review (次へ: 確認)] を選択します。

  8. [Review] ページで、ロール名と説明 (オプション) を指定します。新しいアカウントのロールに割り当てられたデフォルト名との整合性を保つために、OrganizationAccountAccessRole を使用されることをお勧めします。変更をコミットするには、[ロールの作成] を選択します。

  9. 新しいロールが、使用可能なロールのリストに表示されます。新しいロールの名前を選択して詳細を表示します。その際、表示されるリンクの URL に注意します。ロールへのアクセスが必要なメンバーアカウントのユーザーにこの URL を通知します。また、ステップ 15 で必要になる [ロール ARN] も書き留めます。

  10. https://console.aws.amazon.com/iam/ で IAM コンソールにサインインします。今回は、ポリシーを作成し、そのポリシーをユーザーまたはグループに割り当てる権限を持つマスターアカウントのユーザーとしてサインインします。

  11. [ポリシー] に移動し、[ポリシーの作成] を選択します。

    注記

    この例では、ポリシーを作成し、グループへアタッチする方法について説明します。他のアカウントに対してこのポリシーをすでに作成した場合は、ステップ 18 に進みます。

  12. [Service] で、[STS] を選択します。

  13. [アクション] で、[フィルタ] ボックスに「AssumeRole」と入力し始め、表示されたら、その横にチェックボックスをオンにします。

  14. [リソース] を選択し、[指定] が選択されていることを確認して、[ARN の追加] を選択します。

  15. AWS メンバーアカウント ID 番号を入力し、ステップ 1–8 で以前に作成したロールの名前を入力します。[Add] を選択します。

  16. 複数のメンバーアカウントのロールを引き受けるためのアクセス権限を付与する場合は、アカウントごとにステップ 14 と 15 を繰り返します。

  17. [ポリシーの確認] を選択します。

  18. 新しいポリシーの名前を入力し、[ポリシーの作成] を選択して変更を保存します。

  19. ナビゲーションペインで [グループ] を選択し、メンバーアカウントの管理を委任するグループの名前 (チェックボックスではない) を選択します。

  20. [Permissions] タブを選択します。

  21. [Attach Policy] を選択し、ステップ 11–18 で作成したポリシーを選択して、[Attach Policy] を選択します。

選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URL より、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「マスターアカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

マスターアカウントのアクセスロールを持つメンバーアカウントへのアクセス

AWS Organizations コンソールを使用してメンバーアカウントを作成すると、AWS Organizations によって、アカウントの IAM ロール OrganizationAccountAccessRole自動的に作成されます。このロールには、メンバーアカウントの完全な管理権限が含まれます。また、このロールにも、組織のマスターアカウントへのアクセス権限が付与されています。招待されたメンバーアカウントと同一のロールを作成するには、「招待されたメンバーアカウントの OrganizationAccountAccessRole の作成」のステップを実行します。このロールを使用してメンバーアカウントにアクセスするには、ロールを引き受けるアクセス権限を持つマスターアカウントからサインインする必要があります。このアクセス権限を設定するには、次の手順を行います。メンテナンスしやすいように、アクセス権限は、ユーザーではなくグループに付与することをお勧めします。

マスターアカウントの IAM グループのメンバーにアクセス権限を付与してロールにアクセスするには (コンソール)

  1. マスターアカウントの管理者権限を持つユーザーとして、https://console.aws.amazon.com/iam/ の IAM コンソールにサインインします。これは、メンバーアカウントのロールにアクセスするユーザーが属する IAM グループにアクセス権限を委任するために必要です。

  2. まず、後で必要になる管理ポリシーを ステップ 11 で作成します。

    ナビゲーションペインで、[Policies (ポリシー)] を選択し、[Create Policy (ポリシーの作成)] を選択します。

  3. [ビジュアルエディタ] タブで、[サービスの選択] を選択し、検索ボックスに STS と入力してリストをフィルタリングし、[STS] オプションを選択します。

  4. [アクション] セクションで、検索ボックスに assume と入力してリストをフィルタリングし、[AssumeRole] オプションを選択します。

  5. [リソース] セクションで [特定] を選択し、[ARN を追加してアクセスを制限] を選択した後、メンバーアカウント番号と前のセクションで作成したロールの名前を入力します (OrganizationAccountAccessRole という名前を指定することをお勧めします)。

  6. ダイアログボックスに正しい ARN が表示されたら、[追加] を選択します。

  7. (オプション) 多要素認証 (MFA) が必要な場合や、指定された IP アドレス範囲からロールへのアクセスを制限する場合、[リクエスト条件] セクションを展開し、適用するオプションを選択します。

  8. [ポリシーの確認] を選択します。

  9. [名前] フィールドにポリシーの名前を入力します。たとえば、GrantAccessToOrganizationAccountAccessRole と指定します。オプションとして説明を追加することもできます。

  10. [ポリシーの作成] を選択してポリシーを保存します。

  11. ポリシーが使用可能になったので、グループにアタッチできます。

    ナビゲーションペインで、[グループ] を選択してから、メンバーアカウントのロールを引き受けるメンバーが属するグループの名前 (チェックボックスではない) を選択します。必要に応じて、新しいグループを作成できます。

  12. [アクセス許可] タブを選択し、[管理ポリシー] で [ポリシーのアタッチ] を選択します。

  13. (オプション) [検索] ボックスに、ポリシー名を入力し始めると、「ステップ 2」から「ステップ 10」で作成したポリシーの名前が表示されるまで、リストをフィルタリングできます。また、[ポリシータイプ] を選択してから [カスタマー管理] を選択することで、すべての AWS 管理ポリシーを除外することもできます。

  14. ポリシーの横にあるチェックボックスをオンにし、[ポリシーのアタッチ] を選択します。

これで、グループのメンバーである IAM ユーザーに、次の手順に従って AWS Organizations コンソールで新しいロールに切り替えられるアクセス権限が付与されました。

メンバーのアカウントのロールに切り替えるには (コンソール)

ロールを使用する際、ユーザーは、新しいメンバーアカウントの管理者権限が付与されます。グループのメンバーである IAM ユーザーに、以下を実行して新しいロールに切り替えるように指示します。

  1. AWS Organizations コンソールの右上隅で、現在のサインイン名を含むリンクをクリックし、[ロールの切り替え] を選択します。

  2. 管理者から提供されたアカウント ID 番号とロール名を入力します。

  3. [表示名] で、ロール使用時にユーザー名の代わりに右上隅のナビゲーションバーに表示する文字列を入力します。オプションで色を選択することもできます。

  4. [Switch Role] を選択します。これで、実行するアクションはすべて、切り替えたロールに付与されているアクセス権限で行われるようになりました。アクセス権限を戻さない限り、オリジナルの IAM ユーザーに関連付けられているアクセス権限を使用することはできません。

  5. ロールのアクセス許可を必要とするアクションの実行が完了したら、通常の IAM ユーザーに戻すことができます。右上隅のロール名 ([表示名] として指定した名前) を選択して、[ユーザー名 に戻る] を選択します。

その他のリソース