AWS Account Management および AWS Organizations - AWS Organizations
信頼されたアクセスを有効にする信頼されたアクセスを無効にするAccount Management 用の委任管理者アカウントの有効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Account Management および AWS Organizations

AWS Account Management は、組織のすべての AWS アカウントのアカウント情報とメタデータの管理に役立ちます。組織の各メンバーアカウントの代替連絡先情報を設定、変更、または削除できます。詳細については、AWS Account Management ユーザーガイドの「組織で AWS Account Management を使用する」を参照してください。

AWS Account Management と AWS Organizations の統合には、次の情報を参考にしてください。

Account Management で信頼されたアクセスを有効にするには

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

組織でこのサービスの委任管理者にするメンバーアカウントを指定するにあたり、Account Management には AWS Organizations への信頼されたアクセスが必要です。

Organizations ツールだけで、信頼されたアクセスを有効にできます。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. サービスページで、AWS Account Management の行を探し、サービスの名前を選択してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  4. AWS Organizations だけの管理者である場合は、AWS Account Management の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、AWS Account Management を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ 
    --service-principal account.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

Account Management で信頼されたアクセスを無効にするには

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS Organizations 管理アカウントの管理者だけが AWS Account Management との信頼されたアクセスを無効にできます。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Services] (サービス) ページで AWS Account Management の行を探し、サービスの名前を選択します。

  3. [Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  5. AWS Organizations だけの管理者である場合は、AWS Account Management の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、AWS Account Management を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \
    --service-principal account.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

Account Management 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、指定されたアカウントのユーザーおよびロールは組織のその他のメンバーアカウントの AWS アカウント メタデータを管理できるようになります。委任された管理者アカウントを有効にしない場合、これらのタスクは組織の管理アカウントによってのみ実行できます。この手法は、組織の管理からアカウントの詳細の管理を分離するのに有効です。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Account Management の委任管理者としてメンバーアカウントを設定できます

委任ポリシーを設定する方法については、「リソースベースの委任ポリシーを作成または更新する」を参照してください。

AWS CLI, AWS API

AWS CLI または AWS SDK を使用して委任管理者アカウントを設定するには、次のコマンドを使用します。

  • AWS CLI: 

    $  aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal account.amazonaws.com

  • AWS SDK: Organizations RegisterDelegatedAdministrator オペレーションおよびメンバーアカウントの ID 番号を呼び出して、アカウントサービスプリンシパル account.amazonaws.com をパラメータとして識別します。