AWS Systems Manager および AWS Organizations

AWS Systems Manager は、AWS リソースの可視性と制御を可能にする一連の機能です。次の Systems Manager 機能は、組織内のすべての AWS アカウント にわたって組織と連携します。

• Systems Manager Explorer は、AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Organizations と Systems Manager Explorer を使用することにより、組織内のすべての AWS アカウント 間でオペレーションデータを同期できます。詳細については、AWS Systems Manager ユーザーガイドの Systems Manager Explorer を参照してください。

• Systems Manager Change Manager は、アプリケーションの設定とインフラストラクチャに対する運用上の変更をリクエスト、承認、実装、レポートするためのエンタープライズ変更管理フレームワークです。詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Change Manager」を参照してください。

• Systems Manager OpsCenter は、オペレーションエンジニアと IT プロフェッショナルが AWS リソースに関連する運用作業項目 (OpsItems) を表示、調査、および解決できる中心的な場所を提供します。組織で OpsCenter を使用する場合、管理アカウント (組織の管理アカウントまたは Systems Manager 委任管理者アカウントのいずれか) と 1 つの他のアカウントからの OpsItems の単一セッションでの作業がサポートされます。設定が完了すると、ユーザーは次のタイプのアクションを実行できます。

  • 別のアカウントで OpsItems を作成、表示、および更新します。

  • 別のアカウントの OpsItems で指定されている AWS リソースに関する詳細情報を表示します。

  • Systems Manager Automation Runbook を開始して、別のアカウントの AWS リソースに関する問題を修正します。

  詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager OpsCenter」を参照してください。

AWS Systems Manager と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Systems Manager はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Systems Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

• AWSServiceRoleForAmazonSSM_AccountDiscovery

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Systems Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

• ssm.amazonaws.com

Systems Manager との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Organizations ツールだけで、信頼されたアクセスを有効にできます。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

2. サービスページで、AWS Systems Manager の行を探し、サービスの名前を選択してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

4. AWS Organizations だけの管理者である場合は、AWS Systems Manager の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

• AWS CLI: enable-aws-service-access

  次のコマンドを実行し、AWS Systems Manager を Organizations で信頼されたサービスとして有効にすることができます。

  $ aws organizations enable-aws-service-access \ 
      --service-principal ssm.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: EnableAWSServiceAccess

Systems Manager との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Systems Manager には、組織の AWS アカウント 全体でオペレーションデータを同期するにあたり、AWS Organizations との信頼されたアクセスが必要です。信頼されたアクセスを無効にすると、Systems Manager によるオペレーションデータの同期は失敗し、エラーが報告されます。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを無効にするには

1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

2. [Services] (サービス) ページで AWS Systems Manager の行を探し、サービスの名前を選択します。

3. [Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

5. AWS Organizations だけの管理者である場合は、AWS Systems Manager の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

• AWS CLI: disable-aws-service-access

  次のコマンドを実行し、AWS Systems Manager を Organizations で信頼されたサービスとして無効にすることができます。

  $ aws organizations disable-aws-service-access \
      --service-principal ssm.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: DisableAWSServiceAccess

Systems Manager 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Systems Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Systems Manager の管理を分離するのに有効です。

組織全体で Change Manager を使用する場合は、委任管理者アカウントを使用します。これは、Change Manager の変更テンプレート、変更リクエスト、変更ランブック、承認ワークフローを管理するアカウントとして指定された AWS アカウント です。この委任アカウントにより、組織全体の変更アクティビティが管理されます。Change Manager を使用するように組織をセットアップするときは、どのアカウントがこのロールを担うかを指定します。組織の管理アカウントである必要はありません。Change Manager を単一のアカウントのみで使用する場合、委任管理者アカウントは必要ありません。

メンバーアカウントを代理管理者として指定するには、「AWS Systems Manager ユーザーガイド」の以下のトピックを参照してください。

• Explorer と OpsCenter については、「Configuring a Delegated Administrator」(委任管理者の構成) を参照してください。

• 変更マネージャーについては、「Setting up an organization and delegated account for Change Manager」(の組織と委任されたアカウントの設定) を参照してください。