で招待 OrganizationAccountAccessRole されたアカウントの を作成する AWS Organizations

デフォルトでは、組織の一部としてメンバーアカウントを作成すると、 AWS は、ロールを引き受けることができる管理アカウントのIAMユーザーに管理者権限を付与するロールをアカウントに自動作成します。デフォルトでは、そのロールの名前は OrganizationAccountAccessRole です。詳細については、「 OrganizationAccountAccessRole で を持つメンバーアカウントへのアクセス AWS Organizations」を参照してください。

しかし、組織に招待するメンバーアカウントに、管理者ロールが自動的に作成されることはありません。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (OrganizationAccountAccessRole) を使用されることをお勧めします。

AWS Management Console

を作成するには AWS Organizations メンバーアカウントの管理者ロール

1. でIAMコンソールにサインインしますhttps://console.aws.amazon.com/iam/。メンバーアカウントのIAMユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザーとしてサインインする必要があります ( は推奨されません）。ユーザーまたはロールには、IAMロールとポリシーを作成するアクセス許可が必要です。

2. IAM コンソールで、ロール に移動し、ロールの作成 を選択します。

3. 選択 AWS アカウント、次に別の を選択します。 AWS アカウント.

4. 管理者アクセス権を付与する管理アカウントの 12 桁のアカウント ID 番号を入力します。オプション で、次の点に注意してください。

   • このロールの場合、アカウントは会社内部で使用するため、[Require external ID] (外部 ID が必要) は選択しないでください。外部 ID オプションの詳細については、「 ユーザーガイド」の「外部 ID をいつ使用すればよいですか？」を参照してください。 IAM

   • MFA を有効にして設定している場合は、オプションでMFAデバイスを使用した認証を要求できます。の詳細についてはMFA、「 での多要素認証 (MFA) の使用」を参照してください。 AWS「」(IAM ユーザーガイド) を参照してください。

5. [Next (次へ)] を選択します。

6. アクセス許可の追加ページで、 AWS という名前の マネージドポリシーでAdministratorAccess、次へ を選択します。

7. 名前、確認、作成ページで、ロール名とオプションの説明を指定します。新しいアカウントのロールに割り当てられたデフォルト名との整合性を保つために、OrganizationAccountAccessRole を使用されることをお勧めします。変更をコミットするには、[ロールの作成] を選択します。

8. 新しいロールが、使用可能なロールのリストに表示されます。新しいロールの名前を選択して詳細を表示し、URL提供されたリンクに特別な注意を払います。これはURL、ロールにアクセスする必要があるメンバーアカウントのユーザーに付与します。また、ステップ 15 で必要になるため、ロールARNを書き留めます。

9. でIAMコンソールにサインインしますhttps://console.aws.amazon.com/iam/。今回は、ポリシーを作成し、そのポリシーをユーザーまたはグループに割り当てるアクセス許可を持つ管理アカウントのユーザーとしてサインインします。

10. ポリシー に移動し、ポリシーの作成 を選択します。

11. サービス で、 を選択しますSTS。

12. [Actions] (アクション) で、[Filter] (フィルター) ボックスに「AssumeRole」と入力し始め、表示されたら、横のチェックボックスをオンにします。

13. 「リソース」で、「具体的」が選択されていることを確認してから、「追加ARNs」を選択します。

14. を入力します。 AWS メンバーアカウント ID 番号を入力し、ステップ 1～8 で以前に作成したロールの名前を入力します。「追加」を選択しますARNs。

15. 複数のメンバーアカウントのロールを引き受けるためのアクセス権限を付与する場合は、アカウントごとにステップ 14 と 15 を繰り返します。

16. [Next (次へ)] を選択します。

17. 確認と作成ページで、新しいポリシーの名前を入力し、ポリシーの作成を選択して変更を保存します。

18. ナビゲーションペインでユーザーグループを選択し、メンバーアカウントの管理を委任するために使用するグループの名前 (チェックボックスではありません) を選択します。

19. [アクセス許可] タブを選択します。

20. アクセス許可の追加 を選択し、ポリシーのアタッチ を選択し、ステップ 11～18 で作成したポリシーを選択します。

選択したグループのメンバーであるユーザーは、ステップ 9 でキャプチャURLsした を使用して、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「 OrganizationAccountAccessRole で を持つメンバーアカウントへのアクセス AWS Organizations」を参照してください。