組織のメンバーアカウントへのアクセスと管理

組織でアカウントを作成すると、ルートユーザーに加えて、OrganizationAccountAccessRole というデフォルト名の IAM ロールが AWS Organizations によって自動的に作成されます。名前は作成時に個別に指定できますが、アカウント全体で一貫性のある名前を使用することをお勧めします。このガイドでは、このロールをデフォルト名で表記します。これ以外の IAM ユーザー、グループ、ロールが AWS Organizations によって作成されることはありません。組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。

• 組織アカウントには、サインインに使用できるルートユーザーがあります。ルートユーザーは、IAM ユーザー、グループ、ロールの作成にのみ使用し、通常はこれらのいずれかでサインインすることをお勧めします。ルートユーザーとしてのメンバーアカウントへのアクセス を参照してください。

• AWS Organizations の一部として提供されるツールを使用してアカウントを作成する場合、事前に設定済みの OrganizationAccountAccessRole というロールを使用してアカウントにアクセスします。このロールは、この方法で作成されるすべての新しいアカウントに存在します。「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

• 既存のアカウントを組織に招待し、そのアカウントによって招待が承諾されると、招待されたメンバーアカウントへのアクセスを管理アカウントに許可する IAM ロールを作成できるようになります。このロールは、AWS Organizations で作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。このロールの作成については、「招待されたメンバーアカウントの OrganizationAccountAccessRole の作成」を参照してください。ロールの作成が完了したら、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」のステップを使用してアクセスできます。

• AWS IAM Identity Center (successor to AWS Single Sign-On) を使用し、IAM Identity Center の信頼されたアクセスを AWS Organizations で有効にします。これにより、ユーザーは企業の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられている管理アカウントまたはメンバーアカウント内のリソースにアクセスできます。

  詳細については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドのマルチアカウント許可を参照してください。IAM Identity Center への信頼されたアクセス設定については、「AWS IAM Identity Center (successor to AWS Single Sign-On) および AWS Organizations」を参照してください。

最小アクセス許可

組織の別のアカウントから AWS アカウント にアクセスするには、次のアクセス許可が必要です。

• sts:AssumeRole - Resource 要素は、アスタリスク (*) に設定するか、新しいメンバーアカウントにアクセスする必要のあるユーザーが含まれるアカウントのアカウント ID 番号に設定する必要があります。

ルートユーザーとしてのメンバーアカウントへのアクセス

新しいアカウントを作成すると、AWS Organizations ではまず、文字長が最低でも 64 文字のパスワードを root ユーザーに割り当てます。すべての文字はランダムに生成され、特定の文字セットが登場する保証もありません。この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。

メモ

• ベストプラクティスとして、ルートユーザーは、アクセス許可を制限した他のユーザーやロールの作成にのみ使用し、それ以外のアカウントへのアクセスには使用しないことをお勧めします。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。

• また、ルートユーザーに多要素認証 (MFA) を設定することをお勧めします。パスワードをリセットし、root ユーザーに MFA デバイスを割り当てることができます。

• 正しくない E メールアドレスを使用して組織のメンバーアカウントを作成すると、ルートユーザーとしてアカウントにサインインできません。サポートが必要な場合は、AWS Billing and Support にお問い合わせください。

AWS Management Console

メンバーアカウントのルートユーザーの新しいパスワードをリクエストするには

1. AWS コンソールの [Sign in] (サインイン) ページ (https://console.aws.amazon.com/) に移動します。すでに AWS にサインインしている場合は、サインアウトしてサインインページに移動する必要があります。

2. [サインイン] ページに [アカウント ID またはエイリアス]、[IAM ユーザー名]、[パスワード] の 3 つのテキストボックスが表示されている場合は、次に [Sign-in using root account credentials (ルートアカウントの資格情報を使ってサインイン)] を選択します。

3. AWS アカウント に関連付けられているメールアドレスを入力し、[Next] (次へ) を選択します。

4. [パスワードをお忘れですか?] を選択し、新しいパスワードにリセットするために必要な情報を入力します。これを行うには、アカウントに関連付けられている E メールアドレスに送信されるメールにアクセスできる必要があります。

招待されたメンバーアカウントの OrganizationAccountAccessRole の作成

デフォルトでは、組織の一部としてメンバーアカウントを作成すると、そのアカウントに AWS が自動的に作成するロールにより、そのロールを引き受けることができる管理アカウントの IAM ユーザーに、管理者用のアクセス許可が付与されます。デフォルトでは、そのロールの名前は OrganizationAccountAccessRole です。詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

しかし、組織に招待するメンバーアカウントに、管理者ロールが自動的に作成されることはありません。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (OrganizationAccountAccessRole) を使用されることをお勧めします。

AWS Management Console

メンバーアカウントの AWS Organizations 管理者ロールを作成するには

1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。メンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。使用するユーザーまたはロールには、IAM ロールとポリシーを作成するアクセス許可が必要です。

2. IAM コンソールで、[Roles] (ロール) に移動し、[Create Role] (ロールの作成) を選択します。

3. [Another AWS アカウント] (別の AWS アカウント) を選択します。

4. 管理者用のアクセス許可を付与する管理者アカウントの 12 桁のアカウント ID 番号を入力し、[Next: Permissions] (次へ: アクセス許可) を選択します。

   このロールの場合、アカウントは会社内部で使用するため、[Require external ID] (外部 ID が必要) は選択しないでください。外部 ID オプションの詳細については、IAM ユーザーガイドの When Should I Use the External ID? を参照してください。

5. MFA が有効化され設定されている場合は、オプションで、MFA デバイスを使用した認証を求めるように設定できます。MFA の詳細については、IAM ユーザーガイドの Using Multi-Factor Authentication (MFA) in AWS を参照してください。

6. [アクセス権限ポリシーをアタッチする] のページで、AdministratorAccess という名前の AWS 管理ポリシーを選択し、[次のステップ: タグ] を選択します。

7. [タグの追加 (オプション)] ページで、[次へ: 確認)] を選択します。

8. [Review] ページで、ロール名と説明 (オプション) を指定します。新しいアカウントのロールに割り当てられたデフォルト名との整合性を保つために、OrganizationAccountAccessRole を使用されることをお勧めします。変更をコミットするには、[ロールの作成] を選択します。

9. 新しいロールが、使用可能なロールのリストに表示されます。新しいロールの名前を選択して詳細を表示します。その際、表示されるリンクの URL に注意します。ロールへのアクセスが必要なメンバーアカウントのユーザーにこの URL を通知します。また、ステップ 15 で必要になる [ロール ARN] も書き留めます。

10. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。今回は、ポリシーを作成し、そのポリシーをユーザーまたはグループに割り当てるアクセス許可を持つ管理アカウントのユーザーとしてサインインします。

11. [ポリシー] に移動し、[ポリシーの作成] を選択します。

12. [Service] で、[STS] を選択します。

13. [Actions] (アクション) で、[Filter] (フィルター) ボックスに「AssumeRole」と入力し始め、表示されたら、横のチェックボックスをオンにします。

14. [リソース] を選択し、[指定] が選択されていることを確認して、[ARN の追加] を選択します。

15. AWS メンバーアカウント ID 番号を入力し、ステップ 1～8 で作成したロールの名前を入力します。[Add] (追加) を選択します。

16. 複数のメンバーアカウントのロールを引き受けるためのアクセス権限を付与する場合は、アカウントごとにステップ 14 と 15 を繰り返します。

17. [ポリシーの確認] を選択します。

18. 新しいポリシーの名前を入力し、[ポリシーの作成] を選択して変更を保存します。

19. ナビゲーションペインで [グループ] を選択し、メンバーアカウントの管理を委任するグループの名前 (チェックボックスではない) を選択します。

20. [Permissions] (許可) タブを選択します。

21. [Attach Policy] (ポリシーのアタッチ) を選択し、ステップ 11～18 で作成したポリシーを選択してから、[Attach Policy] (ポリシーのアタッチ) を選択します。

選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URL より、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス

AWS Organizations コンソールを使用してメンバーアカウントを作成すると、AWS Organizations によって、OrganizationAccountAccessRole という名前の IAM ロールがアカウントに自動的に作成されます。このロールには、メンバーアカウントの完全な管理権限が含まれます。このロールのアクセスの範囲には、管理アカウント内のすべてのプリンシパルが含まれます。これにより、ロールは組織の管理アカウントにそのアクセスを許可するように構成されます。招待されたメンバーアカウントと同一のロールを作成するには、「招待されたメンバーアカウントの OrganizationAccountAccessRole の作成」のステップを実行します。このロールを使用してメンバーアカウントにアクセスするには、ロールを引き受けるアクセス許可を持つ管理アカウントのユーザーでサインインする必要があります。このアクセス権限を設定するには、次の手順を行います。メンテナンスしやすいように、アクセス権限は、ユーザーではなくグループに付与することをお勧めします。

AWS Management Console

管理アカウントの IAM グループのメンバーにアクセス許可を付与して、ロールにアクセスするには

1. IAM コンソール (https://console.aws.amazon.com/iam/) に管理者用のアクセス許可を持つ管理アカウントのユーザーとしてサインインします。これは、メンバーアカウントのロールにアクセスするユーザーが属する IAM グループにアクセス許可を委任するために必要です。

2. まず、後で必要になる管理ポリシーを ステップ 11 で作成します。

   ナビゲーションペインで、[Policies (ポリシー)] を選択し、[Create Policy (ポリシーの作成)] を選択します。

3. [ビジュアルエディタ] タブで、[サービスの選択] を選択し、検索ボックスに STS と入力してリストをフィルタリングし、[STS] オプションを選択します。

4. [アクション] セクションで、検索ボックスに assume と入力してリストをフィルタリングし、[AssumeRole] オプションを選択します。

5. [リソース] セクションで [特定] を選択し、[ARN を追加してアクセスを制限] を選択した後、メンバーアカウント番号と前のセクションで作成したロールの名前を入力します (OrganizationAccountAccessRole という名前を指定することをお勧めします)。

6. ダイアログボックスに正しい ARN が表示されたら、[追加] を選択します。

7. (オプション) 多要素認証 (MFA) が必要な場合や、指定された IP アドレス範囲からロールへのアクセスを制限する場合、[リクエスト条件] セクションを展開し、適用するオプションを選択します。

8. [ポリシーの確認] を選択します。

9. [名前] フィールドにポリシーの名前を入力します。例: GrantAccessToOrganizationAccountAccessRole。オプションとして説明を追加することもできます。

10. [ポリシーの作成] を選択してポリシーを保存します。

11. ポリシーが使用可能になったので、グループにアタッチできます。

    ナビゲーションペインで、[グループ] を選択してから、メンバーアカウントのロールを引き受けるメンバーが属するグループの名前 (チェックボックスではない) を選択します。必要に応じて、新しいグループを作成できます。

12. [アクセス許可] タブを選択し、[管理ポリシー] で [ポリシーのアタッチ] を選択します。

13. (オプション) [検索] ボックスに、ポリシー名を入力し始めると、「ステップ 2」から「ステップ 10」で作成したポリシーの名前が表示されるまで、リストをフィルタリングできます。[Policy Type] (ポリシータイプ)、[Customer Managed] (カスタマー管理ポリシー) の順に選択すると、すべての AWS 管理ポリシーをフィルタリングできます。

14. ポリシーの横にあるチェックボックスをオンにし、[ポリシーのアタッチ] を選択します。

これで、グループのメンバーである IAM ユーザーに、次の手順に従って AWS Organizations コンソールで新しいロールに切り替えられるアクセス許可が付与されました。

AWS Management Console

メンバーのアカウントのロールに切り替えるには

ロールを使用する際、ユーザーは、新しいメンバーアカウントの管理者権限が付与されます。グループのメンバーである IAM ユーザーに、以下を実行して新しいロールに切り替えるように指示します。

1. AWS Organizations コンソールの右上隅で、現在のサインイン名が表示されたリンクをクリックし、[Switch Role] (ロールの切り替え) を選択します。

2. 管理者から提供されたアカウント ID 番号とロール名を入力します。

3. [表示名] で、ロール使用時にユーザー名の代わりに右上隅のナビゲーションバーに表示する文字列を入力します。オプションで色を選択することもできます。

4. [Switch Role] (ロールの切り替え) を選択します。これで、実行するアクションはすべて、切り替えたロールに付与されているアクセス権限で行われるようになりました。切り替えを戻さない限り、元の IAM ユーザーに関連付けられているアクセス許可を使用することはできません。

5. ロールのアクセス許可を必要とするアクションの実行が完了したら、通常の IAM ユーザーにもう一度切り替えることができます。右上隅のロール名 ([表示名] として指定した名前) を選択して、[ユーザー名 に戻る] を選択します。

その他のリソース

• ロールを切り替えるアクセス許可の付与について詳しくは、IAM ユーザーガイドのロールを切り替えるユーザーアクセス許可の付与を参照してください。

• アクセス許可が付与されて引き受け可能になったロールの使用について詳しくは、IAM ユーザーガイドのロールへの切り替え (AWS Management Console) を参照してください。

• クロスアカウントアクセスのロールの使用に関するチュートリアルについては、IAM ユーザーガイドのチュートリアル: AWS アカウント 間の IAM ロールを使用したアクセスの委任を参照してください。

• AWS アカウント の閉鎖については、AWS アカウント の閉鎖 を参照して ください。