組織のメンバーアカウントへのアクセスと管理 - AWS Organizations

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

組織のメンバーアカウントへのアクセスと管理

注記

AWS Organizations では、Organizations 管理コンソールの新しいバージョンが導入されました。コンソール上部にある通知ボックスのリンクを選択すると、古いコンソールと新しいコンソールを切り替えることができます。ぜひ新しいバージョンをお試しになり、ご意見やご感想をお知らせください。お客様のフィードバックをお待ちしております。

組織でアカウントを作成すると、ルートユーザーに加えて、AWS Organizations はデフォルトで IAM という名前の OrganizationAccountAccessRole ロールを自動的に作成します。 作成時に別の名前を指定できますが、すべてのアカウント間で一貫して名前を付けることをお勧めします。このガイドでは、ロールをデフォルト名で参照しています。AWS Organizations は、他の IAM ユーザー、グループ、その他のロールを作成しません。組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。

  • 組織アカウントには、サインインに使用できるルートユーザーがあります。ルートユーザーは、IAM ユーザー、グループ、ロールの作成にのみ使用し、通常はこれらのいずれかでサインインすることをお勧めします。」を参照してください。ルートユーザーとしてのメンバーアカウントへのアクセス.

  • の一部として提供されるツールを使用してアカウントを作成する場合、事前に設定済みの AWS Organizations というロールを使用してアカウントにアクセスします。このロールは、この方法で作成するすべての新しいアカウントに存在します。OrganizationAccountAccessRole」を参照してください。管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス.

  • 既存のアカウントを組織に招待し、そのアカウントによって招待が承認されると、招待済みのメンバーアカウントにアクセスすることを管理アカウントに許可する IAM ロールの作成を選択できます。このロールは、 で作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。AWS Organizations. このロールの作成については、「」を参照してください。招待されたメンバーアカウントでの OrganizationAccountAccessRole の作成. ロールの作成が完了したら、「」のステップを使用してアクセスできます。管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス.

  • AWS シングルサインオン を使用し、AWS SSO の信頼されたアクセスを AWS Organizations. で有効にします。これにより、ユーザーは企業の認証情報を使用して AWS SSO ユーザーポータルにサインインし、割り当てられている管理アカウントまたはメンバーアカウントのリソースにアクセスできます。

    詳細については、AWS の「 アカウントへの SSO を管理する」を参照してください。AWS シングルサインオン ユーザーガイドAWS SSO への信頼されたアクセス設定については、「AWS シングルサインオン および AWS Organizations.」を参照してください。

最小限必要なアクセス権限

組織の別のアカウントから AWS アカウントにアクセスするには、次のアクセス権限が必要です。

  • sts:AssumeRoleResource要素は、アスタリスク (*) または新しいメンバーアカウントにアクセスする必要のあるユーザーのアカウントのアカウント ID 番号のいずれかに設定する必要があります。

ルートユーザーとしてのメンバーアカウントへのアクセス

新しいアカウントを作成すると、AWS Organizations ではまず、文字長が最低でも 64 文字のパスワードを root ユーザーに割り当てます。すべての文字はランダムに生成され、特定の文字セットが登場する保証もありません。この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。

Notes
Console

メンバーアカウントの root ユーザーの新しいパスワードをリクエストするには

  1. コンソール (AWS) の [https://console.aws.amazon.com/サインイン.] ページに移動します。すでに AWS にサインインしている場合は、サインアウトしてサインインページに移動する必要があります。

  2. サインイン] ページに [アカウント ID またはエイリアス]、[IAM ユーザー名]、[パスワード] の 3 つのテキストボックスが表示されている場合は、次に [Sign-in using root account credentials (ルートアカウントの資格情報を使ってサインイン).] を選択します。

  3. AWS アカウントに関連付けられている E メールアドレスを入力し、[次へ.] を選択します。

  4. [パスワードをお忘れですか?] を選択し、新しいパスワードにリセットするために必要な情報を入力します。これを行うには、アカウントに関連付けられている E メールアドレスに送信されるメールにアクセスできる必要があります。

招待されたメンバーアカウントでの OrganizationAccountAccessRole の作成

デフォルトでは、組織の一部としてメンバーアカウントを作成すると、AWS によって、ロールを引き受けることができる管理アカウントの IAM ユーザーに管理者のアクセス許可を付与するアカウントのロールが自動的に作成されます。デフォルトでは、そのロールの名前は OrganizationAccountAccessRole です。 詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。

ただし、組織に招待するメンバーアカウントによって、管理者ロールが自動的に作成されることはありません次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (OrganizationAccountAccessRole) を使用されることをお勧めします。

Console

メンバーアカウントの AWS Organizations 管理者ロールを作成するには

  1. IAM で https://console.aws.amazon.com/iam/. コンソールにサインインします。ユーザーとしてサインインするか、IAM ロールを引き受けるか、メンバーアカウントのルートユーザー (IAM推奨されません) としてサインインする必要があります。ユーザーまたはロールには、IAM ロールおよびポリシーを作成するためのアクセス許可が必要です。

  2. IAM コンソールで、[ロール] に移動し、[ロールの作成.] を選択します。

  3. Another AWS account.] を選択します。

  4. 管理者権限を付与する管理アカウントの 12 桁のアカウント ID 番号を入力し、[Next: Permissions (次の手順: アクセス許可)] を選択します。

    このロールの場合、アカウントは会社の内部にあるため、[Require external ID (外部 ID が必要)] は選択しないでください。外部 ID オプションの詳細については、https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use の「外部 ID を使用する必要性IAM ユーザーガイド」を参照してください。

  5. MFA が有効化され設定されている場合は、オプションで、MFA デバイスを使用した認証を求めるように設定できます。MFA の詳細については、『AWS』の「IAM ユーザーガイド での多要素認証 (MFA) の使用.」を参照してください。

  6. アクセス権限ポリシーをアタッチする] のページで、AWS という名前の AdministratorAccess 管理ポリシーを選択し、[次のステップ: タグ.] を選択します。

  7. タグの追加 (オプション)] ページで、[Next: Review (次へ: 確認).] を選択します。

  8. [Review] ページで、ロール名と説明 (オプション) を指定します。新しいアカウントのロールに割り当てられたデフォルト名との整合性を保つために、OrganizationAccountAccessRole を使用されることをお勧めします。変更をコミットするには、[ロールの作成.] を選択します。

  9. 新しいロールが、使用可能なロールのリストに表示されます。新しいロールの名前を選択して詳細を表示します。その際、表示されるリンクの URL に注意します。ロールへのアクセスが必要なメンバーアカウントのユーザーにこの URL を通知します。また、ステップ 15 で必要になる [ロール ARN] も書き留めます。

  10. IAM で https://console.aws.amazon.com/iam/. コンソールにサインインします。今回は、ポリシーを作成し、そのポリシーをユーザーまたはグループに割り当てるアクセス許可を持つ管理アカウントのユーザーとしてサインインします。

  11. ポリシー] に移動し、[ポリシーの作成.] を選択します。

  12. Service] で、[STS.] を選択します。

  13. [アクション] で、[AssumeRoleフィルタ] ボックスに「」と入力し始め、表示されたら、その横にチェックボックスをオンにします。

  14. リソース] を選択し、[指定] が選択されていることを確認して、[ARN の追加.] を選択します。

  15. AWS メンバーアカウント ID 番号を入力し、ステップ 1–8.8 で以前に作成したロールの名前を入力します。Add.] を選択します。

  16. 複数のメンバーアカウントのロールを引き受けるためのアクセス権限を付与する場合は、アカウントごとにステップ 14 と 15 を繰り返します。

  17. ポリシーの確認.] を選択します。

  18. 新しいポリシーの名前を入力し、[ポリシーの作成] を選択して変更を保存します。

  19. ナビゲーションペインで [グループ] を選択し、メンバーアカウントの管理を委任するグループの名前 (チェックボックスではない) を選択します。

  20. [Permissions] タブを選択します。

  21. Attach Policy] を選択し、ステップ 11–18 で作成したポリシーを選択して、[Attach Policy.] を選択します。

選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URLs を使用して、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「」を参照してください。管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス.

管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス

コンソールを使用してメンバーアカウントを作成すると、AWS Organizations によって、アカウントに AWS Organizations という名前の ロールが自動的にIAM作成されます。OrganizationAccountAccessRoleこのロールには、メンバーアカウントの完全な管理権限が含まれます。また、ロールは、組織の管理アカウントへのアクセス権限をそのロールに付与するように設定されています。招待されたメンバーアカウントと同一のロールを作成するには、「」のステップを実行します。招待されたメンバーアカウントでの OrganizationAccountAccessRole の作成. このロールを使用してメンバーアカウントにアクセスするには、ロールを引き受けるアクセス権限を持つ管理アカウントのユーザーとしてサインインする必要があります。このアクセス権限を設定するには、次の手順を行います。メンテナンスしやすいように、アクセス権限は、ユーザーではなくグループに付与することをお勧めします。

Console

管理アカウントの IAM グループのメンバーにアクセス権限を付与して、ロールにアクセスするには

  1. 管理アカウントの管理者権限を持つユーザーとして、IAM の https://console.aws.amazon.com/iam/ コンソールにサインインします。これは、メンバーアカウントのロールにアクセスするユーザーが属する IAM グループにアクセス権限を委任するために必要です。

  2. まず、後で必要になる管理ポリシーを で作成します。ステップ 11.

    ナビゲーションペインで、[Policies (ポリシー)] を選択し、[Create Policy (ポリシーの作成).] を選択します。

  3. [ビジュアルエディタ] タブで、[サービスの選択] を選択し、検索ボックスに「STS」と入力してリストをフィルタリングし、[STS] オプションを選択します。

  4. [アクション] セクションで、検索ボックスに「assume」と入力してリストをフィルタリングし、[AssumeRole] オプションを選択します。

  5. [リソース] セクションで [特定] を選択し、[ARN を追加してアクセスを制限] を選択した後、メンバーアカウント番号と前のセクションで作成したロールの名前を入力します (OrganizationAccountAccessRole). という名前を指定することをお勧めします)。

  6. ダイアログボックスに正しい ARN が表示されたら、[追加] を選択します。

  7. (オプション) 多要素認証 (MFA) が必要な場合や、指定された IP アドレス範囲からロールへのアクセスを制限する場合、[リクエスト条件] セクションを展開し、適用するオプションを選択します。

  8. ポリシーの確認.] を選択します。

  9. [名前] フィールドにポリシーの名前を入力します。例: GrantAccessToOrganizationAccountAccessRole。 オプションの説明を追加することもできます。

  10. [ポリシーの作成] を選択して、新しい管理ポリシーを保存します。

  11. ポリシーが使用可能になったので、グループにアタッチできます。

    ナビゲーションペインで、[グループ] を選択し、メンバーアカウントのロールを引き受けるメンバーが属するグループの名前 (チェックボックスではない) を選択します。必要に応じて、新しいグループを作成できます。

  12. アクセス許可] タブを選択し、[管理ポリシー] で [ポリシーのアタッチ.] を選択します。

  13. (オプション) [検索] ボックスに、ポリシー名を入力し始めると、「ステップ 2」から「ステップ 10.」で作成したポリシーの名前が表示されるまで、リストをフィルタリングできます。また、[AWSポリシータイプ]、[カスタマー管理ポリシー] の順に選択して、すべての 管理ポリシーを除外することもできます。

  14. ポリシーの横にあるチェックボックスをオンにし、[ポリシーのアタッチ.] を選択します。

これで、グループのメンバーである IAM ユーザーに、次の手順を使用して AWS Organizations コンソールで新しいロールに切り替えられるアクセス権限が付与されました。

Console

メンバーアカウントのロールに切り替えるには

ロールを使用する際、ユーザーは、新しいメンバーアカウントの管理者権限が付与されます。グループのメンバーである IAM ユーザーに、以下を実行して新しいロールに切り替えるように指示します。

  1. コンソールの右上隅で、現在のサインイン名を含むリンクをクリックし、[AWS Organizationsロールの切り替え] を選択します。

  2. 管理者から提供されたアカウント ID 番号とロール名を入力します。

  3. [表示名] に、ロール使用時にユーザー名の代わりに右上隅のナビゲーションバーに表示する文字列を入力します。オプションで色を選択することもできます。

  4. Switch Role.] を選択します。これで、実行するアクションはすべて、切り替えたロールに付与されているアクセス権限で行われるようになりました。アクセス権限を戻さない限り、オリジナルの IAM ユーザーに関連付けられているアクセス権限を使用することはできません。

  5. ロールのアクセス許可を必要とするアクションの実行が完了したら、通常の IAM ユーザーに戻すことができます。右上隅のロール名 ([表示名] として指定した名前) を選択し、[ に戻る] を選択します。UserName.

その他のリソース