Amazon DevOpsGuru と AWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にする DevOpsGuru の委任管理者アカウントの有効化 DevOpsGuru の委任管理者を無効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DevOpsGuru と AWS Organizations

Amazon DevOpsGuru は、運用データとアプリケーションのメトリクスとイベントを分析し、通常の運用パターンから逸脱する動作を特定します。 DevOpsGuru が運用上の問題またはリスクを検出すると、ユーザーに通知されます。

DevOpsGuru を使用すると、 でのマルチアカウントサポートが有効になるため AWS Organizations、組織全体のインサイトを管理するメンバーアカウントを指定できます。この委任管理者は、組織内のすべてのアカウントから取得したインサイトを表示、ソート、フィルタリングして、追加のカスタマイズを必要とせずに、組織内のすべてのモニタリング対象アプリケーションの状態に関する全体像を作成できます。

詳細については、「Amazon DevOpsGuru ユーザーガイド」の「組織全体のアカウントのモニタリング」を参照してください。

Amazon DevOpsGuru を と統合するには、次の情報を使用します AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、 DevOpsGru は組織内のアカウント内でサポートされているオペレーションを実行できます。

このロールを削除または変更できるのは、 DevOpsGru と Organizations 間の信頼されたアクセスを無効にした場合、または組織からメンバーアカウントを削除した場合のみです。

  • AWSServiceRoleForDevOpsGuru

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。 DevOpsGuru が使用するサービスにリンクされたロールは、以下のサービスプリンシパルへのアクセスを許可します。

  • devops-guru.amazonaws.com

詳細については、「Amazon DevOps Guru ユーザーガイド」の「サービスにリンクされたロールを Guru で使用する」を参照してください。 DevOps

DevOpsGuru で信頼されたアクセスを有効にするには

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

注記

Amazon DevOpsGuru の委任管理者を指定すると、 DevOpsGuru は組織の DevOpsGuru の信頼されたアクセスを自動的に有効にします。

DevOpsGuru では、組織のこのサービスの委任管理者となるメンバーアカウントを指定する AWS Organizations 前に、 への信頼されたアクセスが必要です。

重要

可能な限り、Amazon DevOpsGuru コンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。これにより、Amazon DevOpsGuru はサービスに必要なリソースの作成など、必要な設定を実行できます。これらのステップは、Amazon DevOpsGuru が提供するツールを使用して統合を有効にできない場合にのみ実行してください。詳細については、この注意を参照してください。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールまたは DevOpsGuru コンソールを使用します。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

  2. サービスページで、Amazon DevOpsGuru の行を見つけ、サービスの名前を選択し、信頼されたアクセスを有効にするを選択します

  3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  4. のみの管理者である場合は AWS Organizations、Amazon DevOpsGuru の管理者に、コンソールを使用してそのサービスを有効にして と連携できるようにしました AWS Organizations。

DevOps Guru console
DevOpsGuru コンソールを使用して信頼されたサービスアクセスを有効にするには

  1. 管理アカウントで管理者としてサインインし、 DevOpsGuru コンソールを開きます。Amazon DevOpsGuru コンソール

  2. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

DevOpsGuru との信頼されたアクセスを無効にするには

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Amazon DevOpsGuru との信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

AWS Organizations コンソールを使用して、信頼されたアクセスを無効にすることができます。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで Amazon DevOpsGuru を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. Amazon DevOpsGuru の信頼されたアクセスを無効にするダイアログボックスで、無効にして確認します。次に、信頼されたアクセスを無効にするを選択します

  6. のみの管理者である場合は AWS Organizations、コンソールまたはツールを使用してそのサービスを無効にできるようになったことを Amazon DevOpsGuru の管理者に伝えます AWS Organizations。

DevOpsGuru の委任管理者アカウントの有効化

DevOpsGuru の委任管理者アカウントは、組織から DevOpsGuru にオンボーディングされているすべてのメンバーアカウントのインサイトデータを表示できます。委任管理者が組織アカウントを管理する方法については、「Amazon DevOpsGuru ユーザーガイド」の「組織全体のアカウントのモニタリング」を参照してください。

DevOpsGuru の委任管理者を設定できるのは、組織管理アカウントの管理者のみです。

委任管理者アカウントは、 DevOpsGru コンソールから、または Organizations CLI または SDK RegisterDelegatedAdministrator オペレーションを使用して指定できます。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内の DevOpsGuru の委任管理者としてメンバーアカウントを設定できます。

DevOps Guru console
DevOpsGuru コンソールで委任管理者を設定するには

  1. 管理アカウントで管理者としてサインインし、 DevOpsGuru コンソールを開きます。Amazon DevOpsGuru コンソール

  2. [Register delegated administrator (委任管理者の登録)] を選択します。管理アカウントまたは任意のメンバーアカウントのいずれかを、委任管理者として選択できます。

AWS CLI, AWS API

CLI または AWS SDKs のいずれかを使用して AWS 委任管理者アカウントを設定する場合は、次のコマンドを使用できます。

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal devops-guru.amazonaws.com

  • AWS SDK: Organizations RegisterDelegatedAdministratorオペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスプリンシパルをパラメータaccount.amazonaws.comとして識別します。

DevOpsGuru の委任管理者を無効にする

委任された管理者は、 DevOpsGru コンソール、または Organizations CLI または SDK DeregisterDelegatedAdministrator オペレーションを使用して削除できます。 DevOpsGuru コンソールを使用して委任された管理者を削除する方法については、「Amazon DevOpsGuru ユーザーガイド」の「組織全体のアカウントのモニタリング」を参照してください。