組織のメンバーアカウントへのアクセスと管理
組織でアカウントを作成すると、ルートユーザーに加えて、OrganizationAccountAccessRole
というデフォルト名の IAM ロールが AWS Organizations によって自動的に作成されます。名前は作成時に個別に指定できますが、アカウント全体で一貫性のある名前を使用することをお勧めします。このガイドでは、このロールをデフォルト名で表記します。これ以外の IAM ユーザー、グループ、ロールが AWS Organizations によって作成されることはありません。組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。
-
組織アカウントには、サインインに使用できるルートユーザーがあります。ルートユーザーは、IAM ユーザー、グループ、ロールの作成にのみ使用し、通常はこれらのいずれかでサインインすることをお勧めします。ルートユーザーとしてのメンバーアカウントへのアクセス を参照してください。
-
AWS Organizations の一部として提供されるツールを使用してアカウントを作成する場合、事前に設定済みの
OrganizationAccountAccessRole
というロールを使用してアカウントにアクセスします。このロールは、この方法で作成されるすべての新しいアカウントに存在します。「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。 -
既存のアカウントを組織に招待し、そのアカウントによって招待が承諾されると、招待されたメンバーアカウントへのアクセスを管理アカウントに許可する IAM ロールを作成できるようになります。このロールは、AWS Organizations で作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。このロールの作成については、「招待されたメンバーアカウントの OrganizationAccountAccessRole の作成」を参照してください。ロールの作成が完了したら、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」のステップを使用してアクセスできます。
-
AWS IAM Identity Center (successor to AWS Single Sign-On) を使用し、IAM Identity Center の信頼されたアクセスを AWS Organizations で有効にします。これにより、ユーザーは企業の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられている管理アカウントまたはメンバーアカウント内のリソースにアクセスできます。
詳細については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドのマルチアカウント許可を参照してください。IAM Identity Center への信頼されたアクセス設定については、「AWS IAM Identity Center (successor to AWS Single Sign-On) および AWS Organizations」を参照してください。
組織の別のアカウントから AWS アカウント にアクセスするには、次のアクセス許可が必要です。
-
sts:AssumeRole
-Resource
要素は、アスタリスク (*) に設定するか、新しいメンバーアカウントにアクセスする必要のあるユーザーが含まれるアカウントのアカウント ID 番号に設定する必要があります。
ルートユーザーとしてのメンバーアカウントへのアクセス
新しいアカウントを作成すると、AWS Organizations ではまず、文字長が最低でも 64 文字のパスワードを root ユーザーに割り当てます。すべての文字はランダムに生成され、特定の文字セットが登場する保証もありません。この初期パスワードを再び取得することはできません。root ユーザーとしてアカウントに初めてアクセスする場合は、パスワード復旧プロセスを行う必要があります。
-
ベストプラクティスとして、ルートユーザーは、アクセス許可を制限した他のユーザーやロールの作成にのみ使用し、それ以外のアカウントへのアクセスには使用しないことをお勧めします。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。
-
また、ルートユーザーに多要素認証 (MFA) を設定することをお勧めします。パスワードをリセットし、root ユーザーに MFA デバイスを割り当てることができます。
-
正しくない E メールアドレスを使用して組織のメンバーアカウントを作成すると、ルートユーザーとしてアカウントにサインインできません。サポートが必要な場合は、AWS Billing and Support
にお問い合わせください。
招待されたメンバーアカウントの OrganizationAccountAccessRole の作成
デフォルトでは、組織の一部としてメンバーアカウントを作成すると、そのアカウントに AWS が自動的に作成するロールにより、そのロールを引き受けることができる管理アカウントの IAM ユーザーに、管理者用のアクセス許可が付与されます。デフォルトでは、そのロールの名前は OrganizationAccountAccessRole
です。詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。
しかし、組織に招待するメンバーアカウントに、管理者ロールが自動的に作成されることはありません。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (OrganizationAccountAccessRole
) を使用されることをお勧めします。
選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URL より、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス」を参照してください。
管理アカウントのアクセスロールを持つメンバーアカウントへのアクセス
AWS Organizations コンソールを使用してメンバーアカウントを作成すると、AWS Organizations によって、OrganizationAccountAccessRole
という名前の IAM ロールがアカウントに自動的に作成されます。このロールには、メンバーアカウントの完全な管理権限が含まれます。このロールのアクセスの範囲には、管理アカウント内のすべてのプリンシパルが含まれます。これにより、ロールは組織の管理アカウントにそのアクセスを許可するように構成されます。招待されたメンバーアカウントと同一のロールを作成するには、「招待されたメンバーアカウントの OrganizationAccountAccessRole の作成」のステップを実行します。このロールを使用してメンバーアカウントにアクセスするには、ロールを引き受けるアクセス許可を持つ管理アカウントのユーザーでサインインする必要があります。このアクセス権限を設定するには、次の手順を行います。メンテナンスしやすいように、アクセス権限は、ユーザーではなくグループに付与することをお勧めします。
これで、グループのメンバーである IAM ユーザーに、次の手順に従って AWS Organizations コンソールで新しいロールに切り替えられるアクセス許可が付与されました。
その他のリソース
-
ロールを切り替えるアクセス許可の付与について詳しくは、IAM ユーザーガイドのロールを切り替えるユーザーアクセス許可の付与を参照してください。
-
アクセス許可が付与されて引き受け可能になったロールの使用について詳しくは、IAM ユーザーガイドのロールへの切り替え (AWS Management Console) を参照してください。
-
クロスアカウントアクセスのロールの使用に関するチュートリアルについては、IAM ユーザーガイドのチュートリアル: AWS アカウント 間の IAM ロールを使用したアクセスの委任を参照してください。
-
AWS アカウント の閉鎖については、AWS アカウント の閉鎖 を参照して ください。