を使用して組織のメンバーアカウントにアクセスする AWS Organizations

組織でアカウントを作成すると、ルートユーザーに加えて、OrganizationAccountAccessRole というデフォルト名の IAM ロールがAWS Organizations によって自動的に作成されます。作成時に別の名前を指定できますが、すべてのアカウントで一貫して名前を付けることをお勧めします。 AWS Organizations は他のユーザーやロールを作成しません。

組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。

最小アクセス許可

組織内の他のアカウント AWS アカウントからにアクセスするには、次のアクセス許可が必要です。

sts:AssumeRole - Resource 要素は、アスタリスク (*) に設定するか、新しいメンバーアカウントにアクセスする必要のあるユーザーが含まれるアカウントのアカウント ID 番号に設定する必要があります。

Using the root user (Not recommended for everyday tasks)

組織に新しいメンバーアカウントを作成すると、アカウントにはデフォルトでルートユーザー認証情報がありません。メンバーアカウントは、アカウントリカバリが有効になっていない限り、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりすることはできません。

メンバーアカウントのルートアクセスを一元化して、組織内の既存のメンバーアカウントのルートユーザー認証情報を削除できます。ルートユーザーの認証情報を削除すると、ルートユーザーのパスワード、アクセスキー、署名証明書が削除され、多要素認証 (MFA) が無効になります。これらのメンバーアカウントはルートユーザー認証情報を持っておらず、ルートユーザーとしてサインインできず、ルートユーザーのパスワードをリカバリできません。Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。

ルートユーザー認証情報が存在しないメンバーアカウントでルートユーザー認証情報を必要とするタスクを実行する必要がある場合は、管理者にお問い合わせください。

ルートユーザーとしてメンバーアカウントにアクセスするには、パスワード復旧のプロセスを実行する必要があります。詳細については、「AWS サインインユーザーガイド」の「AWS アカウントアカウントのルートユーザーパスワードを忘れてしまった」を参照してください。

ルートユーザーを使用してメンバーアカウントにアクセスする必要がある場合は、次のベストプラクティスに従ってください。

アクセス許可がより限定された他のユーザーとロールを作成する場合を除き、ルートユーザーを使用してアカウントにアクセスしないでください。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。
ルートユーザーで多要素認証 (MFA) を有効にします。パスワードをリセットし、root ユーザーに MFA デバイスを割り当てることができます。

ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。ルートユーザーのセキュリティに関するその他の推奨事項については、IAM ユーザーガイドの「のルートユーザーのベストプラクティス AWS アカウント」を参照してください。

Using trusted access for IAM Identity Center

で IAM Identity Center の信頼されたアクセスを使用AWS IAM Identity Centerおよび有効にします AWS Organizations。これにより、ユーザーは会社の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられた管理アカウントまたはメンバーアカウントのリソースにアクセスできます。

詳細については、AWS IAM Identity Center ユーザーガイドのマルチアカウント許可を参照してください。IAM Identity Center への信頼されたアクセス設定については、「AWS IAM Identity Center および AWS Organizations」を参照してください。

Using the IAM role OrganizationAccountAccessRole

の一部として提供されるツールを使用してアカウントを作成する場合 AWS Organizations、この方法で作成するすべての新しいアカウントに存在する OrganizationAccountAccessRole という名前の事前設定済みロールを使用してアカウントにアクセスできます。詳細については、「で OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations」を参照してください。

既存のアカウントを組織に招待し、そのアカウントによって招待が承諾されると、招待されたメンバーアカウントへのアクセスを管理アカウントに許可する IAM ロールを作成できるようになります。このロールは、 AWS Organizationsで作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。

このロールの作成については、「で招待されたアカウントの OrganizationAccountAccessRole を作成する AWS Organizations」を参照してください。

ロールの作成が完了したら、「で OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations」のステップを使用してアクセスできます。

トピック

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

メンバーアカウントを作成する

IAM アクセスロールを作成する