AWS Systems Manager および AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Systems Manager および AWS Organizations

AWS Systems Manager は、 リソースの可視性と制御を可能にする機能のコレクションです AWS 。次の Systems Manager 機能は、組織内のすべての AWS アカウント にわたって組織と連携します。

  • Systems Manager Explorer は、 AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Organizations と Systems Manager Explorer を使用して、組織内のすべての AWS アカウント でオペレーションデータを同期できます。詳細については、AWS Systems Manager ユーザーガイドSystems Manager Explorer を参照してください。

  • Systems Manager Change Manager は、アプリケーションの設定とインフラストラクチャに対する運用上の変更をリクエスト、承認、実装、レポートするためのエンタープライズ変更管理フレームワークです。詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Change Manager」を参照してください。

  • Systems Manager OpsCenter は、オペレーションエンジニアや IT プロフェッショナルが AWS リソースに関連する運用作業項目 (OpsItems) を表示、調査、解決できる一元的な場所を提供します。Organizations OpsCenter で を使用すると、1 回のセッション中に管理アカウント (Organizations 管理アカウントまたは Systems Manager の委任された管理者アカウント) と他の 1 つのアカウントからの の使用 OpsItems がサポートされます。設定が完了すると、ユーザーは次のタイプのアクションを実行できます。

    • 別のアカウント OpsItems で作成、表示、更新します。

    • 別のアカウントの OpsItems で指定されている AWS リソースに関する詳細情報を表示します。

    • Systems Manager Automation ランブックを起動して、別のアカウントの AWS リソースに関する問題を修正します。

    詳細については、「 ユーザーガイドAWS Systems Manager OpsCenter」のAWS Systems Manager 「」を参照してください。

以下の情報は、 AWS Systems Manager との統合に役立ちます AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Systems Manager はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Systems Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForAmazonSSM_AccountDiscovery

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Systems Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • ssm.amazonaws.com

Systems Manager との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Organizations ツールだけで、信頼されたアクセスを有効にできます。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを有効にするには
  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストAWS Systems Managerで を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. の信頼されたアクセスを有効にする AWS Systems Manager」ダイアログボックスで、「有効化して確認します」と入力し、「信頼されたアクセスを有効にする」を選択します。

  6. のみの管理者である場合は AWS Organizations、 コンソールを使用してそのサービスを有効に AWS Systems Manager して を操作できるようにすることを管理者に伝えてください AWS Organizations。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを有効にできます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行して、 を Organizations の信頼されたサービス AWS Systems Manager として有効にできます。

    $ aws organizations enable-aws-service-access \ --service-principal ssm.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: 有効AWSServiceAccess

Systems Manager との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Systems Manager では、組織 AWS アカウント 内の 間でオペレーションデータを同期 AWS Organizations するために、 との信頼されたアクセスが必要です。信頼されたアクセスを無効にすると、Systems Manager によるオペレーションデータの同期は失敗し、エラーが報告されます。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには
  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストAWS Systems Managerで を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. の信頼されたアクセスを無効にする AWS Systems Manager」ダイアログボックスで、「無効化」と入力して確認します。次に、「信頼されたアクセスを無効にする」を選択します。

  6. のみの管理者である場合は AWS Organizations、 の管理者 AWS Systems Manager に、コンソールまたはツールを使用してそのサービスを無効にして、 の操作を無効にできるようになったことを知らせます AWS Organizations。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にすることができます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations の信頼されたサービス AWS Systems Manager として を無効にできます。

    $ aws organizations disable-aws-service-access \ --service-principal ssm.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: 無効AWSServiceAccess

Systems Manager 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Systems Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Systems Manager の管理を分離するのに有効です。

組織全体で Change Manager を使用する場合は、委任管理者アカウントを使用します。これは、Change Manager で変更テンプレート、変更リクエスト、変更ランブック、承認ワークフローを管理するためのアカウントとして指定されている AWS アカウント です。この委任アカウントにより、組織全体の変更アクティビティが管理されます。Change Manager を使用するように組織をセットアップするときは、どのアカウントがこのロールを担うかを指定します。組織の管理アカウントである必要はありません。Change Manager を単一のアカウントのみで使用する場合、委任管理者アカウントは必要ありません。

メンバーアカウントを代理管理者として指定するには、「AWS Systems Manager ユーザーガイド」の以下のトピックを参照してください。