翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
組織のメンバーアカウントへのアクセス
組織でアカウントを作成すると、ルートユーザーに加えて、OrganizationAccountAccessRole
というデフォルト名の IAM ロールが AWS Organizations によって自動的に作成されます。名前は作成時に個別に指定できますが、アカウント全体で一貫性のある名前を使用することをお勧めします。このガイドでは、ロールをデフォルト名で表記します。AWS Organizations はこれ以外のユーザーまたはロールを作成することはありません。組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。
-
AWS アカウントを作成する場合は、そのアカウントのすべての AWS サービスとリソースに対して完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。このアイデンティティは AWS アカウントのルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報は保護し、ルートユーザーでしか実行できないタスクを実行するときに使用します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、『IAM ユーザーガイド』の「ルートユーザー認証情報が必要なタスク」を参照してください。ルートユーザーのセキュリティに関するその他の推奨事項については、「AWS アカウントのルートユーザーのベストプラクティス」を参照してください。
-
AWS Organizations の一部として提供されるツールを使用してアカウントを作成する場合、事前に設定済みの
OrganizationAccountAccessRole
というロールを使用してアカウントにアクセスします。このロールは、この方法で作成されるすべての新しいアカウントに存在します。詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。 -
既存のアカウントを組織に招待し、そのアカウントによって招待が承諾されると、招待されたメンバーアカウントへのアクセスを管理アカウントに許可する IAM ロールを作成できるようになります。このロールは、AWS Organizations で作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。このロールの作成については、「招待されたメンバーアカウント OrganizationAccountAccessRole での の作成」を参照してください。ロールの作成が完了したら、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」のステップを使用してアクセスできます。
-
AWS IAM Identity Center を使用し、IAM Identity Center の信頼されたアクセスを AWS Organizations で有効にします。これにより、ユーザーは企業の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられている管理アカウントまたはメンバーアカウント内のリソースにアクセスできます。
詳細については、AWS IAM Identity Center ユーザーガイドのマルチアカウント許可を参照してください。IAM Identity Center への信頼されたアクセス設定については、「AWS IAM Identity Center および AWS Organizations」を参照してください。
最小アクセス許可
組織の別のアカウントから AWS アカウント にアクセスするには、次のアクセス許可が必要です。
-
sts:AssumeRole
-Resource
要素は、アスタリスク (*) に設定するか、新しいメンバーアカウントにアクセスする必要のあるユーザーが含まれるアカウントのアカウント ID 番号に設定する必要があります。
ルートユーザーとしてのメンバーアカウントへのアクセス
新しいアカウントを作成すると、AWS Organizations ではまず、文字長が最低でも 64 文字のパスワードを root ユーザーに割り当てます。すべての文字はランダムに生成され、特定の文字セットが登場する保証もありません。この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。詳細については、AWS「 サインインユーザーガイド」の「 のルートユーザーパスワードを忘れてしまったAWS アカウント」を参照してください。
メモ
-
ベストプラクティスとして、ルートユーザーは、アクセス許可を制限した他のユーザーやロールの作成にのみ使用し、それ以外のアカウントへのアクセスには使用しないことをお勧めします。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。
-
ルートユーザーに多要素認証 (MFA) を有効化することもお勧めします。パスワードをリセットし、root ユーザーに MFA デバイスを割り当てることができます。
-
正しくない E メールアドレスを使用して組織のメンバーアカウントを作成すると、ルートユーザーとしてアカウントにサインインできません。サポートが必要な場合は、AWS Billing and Support
にお問い合わせください。
招待されたメンバーアカウント OrganizationAccountAccessRole での の作成
デフォルトでは、組織の一部としてメンバーアカウントを作成すると、そのアカウントに AWS が自動的に作成するロールにより、そのロールを引き受けることができる管理アカウントの IAM ユーザーに、管理者用のアクセス許可が付与されます。デフォルトでは、そのロールの名前は OrganizationAccountAccessRole
です。詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。
しかし、組織に招待するメンバーアカウントに、管理者ロールが自動的に作成されることはありません。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (OrganizationAccountAccessRole
) を使用されることをお勧めします。
選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URL より、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。
管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス
AWS Organizations コンソールを使用してメンバーアカウントを作成すると、AWS Organizations によって、OrganizationAccountAccessRole
という名前の IAM ロールがアカウントに自動的に作成されます。このロールには、メンバーアカウントの完全な管理権限が含まれます。このロールのアクセスの範囲には、管理アカウント内のすべてのプリンシパルが含まれます。これにより、ロールは組織の管理アカウントにそのアクセスを許可するように構成されます。招待されたメンバーアカウントと同一のロールを作成するには、「招待されたメンバーアカウント OrganizationAccountAccessRole での の作成」のステップを実行します。このロールを使用してメンバーアカウントにアクセスするには、ロールを引き受けるアクセス許可を持つ管理アカウントのユーザーでサインインする必要があります。このアクセス権限を設定するには、次の手順を行います。メンテナンスしやすいように、アクセス権限は、ユーザーではなくグループに付与することをお勧めします。
これで、グループのメンバーである IAM ユーザーに、次の手順に従って AWS Organizations コンソールで新しいロールに切り替えられるアクセス許可が付与されました。
追加リソース
-
ロールを切り替えるアクセス許可の付与の詳細については、「IAM ユーザーガイド」の「ロールを切り替えるアクセス許可をユーザーに付与する」を参照してください。
-
引き受けるアクセス許可が付与されたロールの使用の詳細については、IAM ユーザーガイドの「ロールへの切り替え (コンソール)」を参照してください。
-
クロスアカウントアクセスにロールを使用する方法のチュートリアルについては、IAM ユーザーガイドの「チュートリアル: 間の IAM ロールAWS アカウントを使用したアクセスの委任」を参照してください。
-
AWS アカウント の閉鎖については、組織のメンバーアカウントの閉鎖 を参照して ください。