AWS Systems Manager: および AWS Organizations - AWS Organizations
サービスにリンクされたロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にする委任管理者アカウントの有効化

AWS Systems Manager: および AWS Organizations

AWS Systems Manager は、AWS リソースの可視性と制御を可能にする一連の機能です。Systems Manager には、Organizations と連動して組織のすべての AWS アカウント に対する処理を行う機能が 2 つあります。

  • Systems Manager Explorer は、AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Organizations と Systems Manager Explorer を使用することにより、組織内のすべての AWS アカウント 間でオペレーションデータを同期できます。詳細については、AWS Systems Manager ユーザーガイドSystems Manager Explorer を参照してください。

  • Systems Manager Change Manager は、アプリケーションの設定とインフラストラクチャに対する運用上の変更をリクエスト、承認、実装、レポートするためのエンタープライズ変更管理フレームワークです。詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Change Manager」を参照してください。

AWS Systems Manager と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Systems Manager はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Systems Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForAmazonSSM_AccountDiscovery

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Systems Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • ssm.amazonaws.com

Systems Manager との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

AWS Systems Manager コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に AWS Systems Manager コンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS Systems Manager で実行可能になります。ここに示す手順は、統合の有効化に AWS Systems Manager が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS Systems Manager コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

Systems Manager コンソールを使用して信頼されたアクセスを有効にするには

AWS Organizations の管理アカウントでサインインし、リソースデータの同期を作成する必要があります。詳細については、AWS Systems Manager ユーザーガイド複数のアカウントおよびリージョンのデータを表示するように Systems Manager Explorer を設定するを参照してください。。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. サービスページで、AWS Systems Manager の行を探し、サービスの名前を選択してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  4. AWS Organizations だけの管理者である場合は、AWS Systems Manager の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、AWS Systems Manager を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ 
    --service-principal ssm.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

Systems Manager との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Systems Manager には、組織の AWS アカウント 全体でオペレーションデータを同期するにあたり、AWS Organizations との信頼されたアクセスが必要です。信頼されたアクセスを無効にすると、Systems Manager によるオペレーションデータの同期は失敗し、エラーが報告されます。

AWS Systems Manager または AWS Organizations ツールを使用して信頼されたアクセスを無効にできます。

重要

Organizations との統合の無効化には、可能な場合は常に AWS Systems Manager コンソールまたはツールを使用することを強くお勧めします。そうすることで、AWS Systems Manager は、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップを実行できます。ここに示す手順は、統合の無効化に AWS Systems Manager が提供するツールを使用できない場合にのみ実施してください。

AWS Systems Manager コンソールまたはツールを使用して信頼されたアクセスを無効にする場合、これらのステップを実施する必要はありません。

Systems Manager コンソールを使用して信頼されたアクセスを無効にするには

AWS Systems Manager ユーザーガイドSystems Manager Explorer のリソースデータ同期を削除するを参照してください。信頼されたアクセスを再度有効にするには、Systems Manager Explorer に新しいリソースデータ同期を作成する必要があります。

信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Services] (サービス) ページで AWS Systems Manager の行を探し、サービスの名前を選択します。

  3. [Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  5. AWS Organizations だけの管理者である場合は、AWS Systems Manager の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、AWS Systems Manager を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \
    --service-principal ssm.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

Systems Manager 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Systems Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Systems Manager の管理を分離するのに有効です。

組織全体で Change Manager を使用する場合は、委任管理者アカウントを使用します。これは、Change Manager の変更テンプレート、変更リクエスト、変更ランブック、承認ワークフローを管理するアカウントとして指定された AWS アカウント です。この委任アカウントにより、組織全体の変更アクティビティが管理されます。Change Manager を使用するように組織をセットアップするときは、どのアカウントがこのロールを担うかを指定します。組織の管理アカウントである必要はありません。Change Manager を単一のアカウントのみで使用する場合、委任管理者アカウントは必要ありません。

Systems Manager の委任管理者としてメンバーアカウントを指定するには

Systems Manager Explorer については、AWS Systems Manager ユーザーガイド委任管理者の設定を参照してください。

Systems Manager Change Manager については、AWS Systems Manager ユーザーガイドSetting up an organization and delegated account for Change Manager を参照してください。