AWSNetwork Manager とAWS Organizations - AWS Organizations

AWSNetwork Manager とAWS Organizations

ネットワークマネージャを使用すると、アカウント、リージョン、オンプレミスにまたがるクラウド WAN コアネットワークとTransit Gateway ネットワークを一元的に管理できます。マルチアカウントサポートを使用すると、任意のアカウントに対して単一のグローバルネットワークを作成し、Network Manager コンソールを使用して、複数のアカウントのトランジットゲートウェイをグローバルネットワークに登録できます。

Network Manager と Organizations 間の信頼されたアクセスを有効にすると、登録された委任管理者と管理アカウントは、メンバーアカウントに展開されたサービスリンクの役割を利用して、グローバルネットワークに接続されたリソースを説明できます。Network Manager コンソールから、登録された委任管理者と管理アカウントは、メンバーアカウントに展開されたカスタム IAM ロール(マルチアカウントの監視とイベント、およびマルチアアクウントリソースの表示と管理のためのコンソールスイッチのロールアクセス)を引き受けることができます。

重要
  • Network Manager コンソールを使用してマルチアカウント設定 (信頼されたアクセスの有効化/無効化、委任された管理者の登録/解除)を管理することを強くお勧めします。コンソールからこれらの設定を管理すると、マルチアカウント・アクセスに必要なメンバーアカウントに、必要なすべてのサービスにリンクされたロールとカスタム IAM ロールが自動的に配備され、管理されます。

  • ネットワークマネージャコンソールでネットワーク・マネージャの信頼されたアクセスを有効にすると、コンソールも有効にします。ネットワーク・マネージャーは StackSets を使用して、マルチアカウント管理に必要なカスタム IAM ロールを配備にします。

Network Manager とOrganizations の統合の詳細については、「Amazon VPC User Guide」の「ネットワークマネージャで複数のアカウントを管理する」を参照してください。

Amazon Macie と の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、リストされた組織アカウントに以下のようなサービスにリンクされたロールが自動的に作成されます。これらのロールにより、Nettwork Managerは組織のアカウント内でサポートされている操作を実行できます。信頼されたアクセスを無効にした場合、Network Manager は組織内のアカウントからこれらのロールを削除しません。IAM コンソールを使用して手動で削除できます。

管理アカウント

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

メンバーアカウント

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

メンバーアカウントを委任された管理者として登録すると、委任された管理者アカウントに次の追加ロールが自動的に作成されます。

  • AWSServiceRoleForCloudWatchCrossAccount

サービスにリンクされたロールで使用されるサービスプリンシパル

サービスにリンクされたロールは、そのロールに定義された信頼関係によって承認されたサービスプリンシパルのみが担うことができる。

  • ロールの場合、アクセス権を持つ唯一のサービスプリンシパルです。

  • サービスにリンクされたロールの場合、アクセス権を持つ唯一のサービスプリンシパルです。

  • サービスにリンクされたロールの場合、アクセス権を持つ唯一のサービスプリンシパルです。

  • サービスにリンクされたロールの場合、アクセス権を持つ唯一のサービスプリンシパルです。

これらのロールを削除すると、ネットワーク・マネージャのマルチ・アカウント機能が損なわれます。

ネットワーク・マネージャーで信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Organizations 管理アカウントの管理者のみが、他のサービスとの信頼されたアクセスを有効にする権限を持っています。権限の問題を回避するために、ネットワーク・マネージャを必ず使用して、信頼されたアクセスを有効にします。詳細については、「Amazon VPC ユーザーガイド」の 「Manage multiple accounts in Network Manager with」を参照してください。

Network Manager との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Organizations 管理アカウントの管理者のみが、他のサービスとの信頼されたアクセスを無効にする権限を持っています。

重要

信頼されたアクセスを無効にするには、Network Manager コンソールを使用することを強くお勧めします。APIやコンソールを使用するなど、他の方法で信頼されたアクセスを無効にした場合、 デプロイ済みのStackSets とカスタム IAM ロールが適切にクリーンアップされない場合があります。信頼されたサービスのアクセスを無効にするには、Network Manager コンソールにサイン・インします。

Network Manager 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 Network Manager の管理アクションを実行できるようになります。それ以外の場合は、この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、Network Manager の管理を組織の管理から分離するのに有効です。

メンバーアカウントを組織の StackSets の委任管理者として指定する手順については、 ユーザーガイドの委任された管理者の登録を参照してください。