AWS Systems Manager および AWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスの有効化信頼されたアクセスの無効化委任管理者アカウントの有効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Systems Manager および AWS Organizations

AWS Systems Manager は、AWS リソースの可視性と制御を可能にする一連の機能です。Systems Manager の一部である 2 つの機能は、Organizations と連携して、 AWS アカウント お客様の組織の

  • Systems Manager Explorer は、カスタマイズ可能な操作ダッシュボードで、AWSリソースの使用料金を見積もることができます。すべての間でオペレーションデータを同期できます。 AWS アカウント Organizations とSystems Manager エクスプローラーを使用して組織内の。詳細については、「」を参照してください。Systems Manager Explorer()AWS Systems Managerユーザーガイド

  • Systems Manager Change Manager は、アプリケーションの設定やインフラストラクチャに対する運用上の変更を要求、承認、実装、レポート作成するためのエンタープライズ変更管理フレームワークです。詳細については、「」を参照してください。AWS Systems ManagerChange Manager()AWS Systems Managerユーザーガイド

以下の情報を参考にして、統合を行います。AWS Systems ManagerをAWS Organizations。

統合を有効にしたときに作成されるサービスリンクロール

以下のようになりますサービスにリンクされたロールは、信頼されたアクセスを有効にすると、組織の管理カウントに自動的に作成されます。この役割により、Systems Manager は、組織内の組織のアカウント内でサポートされている操作を実行できます。

この役割を削除または変更できるのは、Systems Manager とOrganizations 間の信頼されたアクセスを無効にするか、組織からメンバーアカウントを削除した場合のみです。

  • AWSServiceRoleForAmazonSSM_AccountDiscovery

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスリンクロールは、ロールに定義された信頼関係によって承認されたサービスプリンシパルによってのみ引き受けることができます。Systems Manager で使用されるサービスリンクされた役割は、次のサービスプリンシパルへのアクセスを許可します。

  • ssm.amazonaws.com

Systems Manager で信頼されたアクセスを有効にします。

信頼されたアクセスを有効にするために必要なアクセス許可の詳細については、」信頼されたアクセスを有効にするために必要なアクセス許可

AWS Systems Manager コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

可能であれば、「」を使用することを強くお勧めします。AWS Systems Managerコンソールまたはツールを使用して、Organizations との統合を可能にします。これにより、することができます。AWS Systems Managerは、サービスに必要なリソースの作成など、必要な構成を実行します。で提供されるツールを使用して統合を有効にできない場合にのみ、これらの手順を実行してください。AWS Systems Manager詳細については、「」を参照してください。このメモ

信頼されたアクセスを有効にする場合は、AWS Systems Managerコンソールまたはツールでは、これらのステップを実行する必要はありません。

Systems Manager コンソールを使用して信頼されたアクセスを有効にするには

[] でサインインする必要があります。AWS Organizations管理アカウントを作成し、リソースデータの同期を作成します。詳細については、 を参照してください。複数のアカウントとリージョンからのデータを表示するためのエクスプローラのセットアップ()AWS Systems Managerユーザーガイド

信頼されたアクセスを有効にするには、AWS Organizationsコンソールを実行することで、AWS CLIコマンドを使用するか、API オペレーションをAWSSDK。

AWS Management Console

Organizations コンソールを使用して信頼されたサービスアクセスを有効にするには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの []サービスページで、AWS Systems Managerを選択し、サービスの名前を選択してから、信頼されたアクセスの有効化

  3. 確認ダイアログボックスで [] を有効にします。信頼されたアクセスを有効にするオプションを表示する「」と入力します。enable[] ボックスの [] で [] を選択します。信頼されたアクセスの有効化

  4. あなただけの管理者である場合AWS Organizationsの管理者にAWS Systems Managerで、コンソールを使用してそのサービスを有効にできるようになりました。AWS Organizations。

AWS CLI, AWS API

組織CLI/SDK を使用して信頼されたサービスアクセスを有効にするには

以下を使用できます。AWS CLIサービスへの信頼されたアクセスを有効にするには、コマンドまたは API オペレーションを使用できます。

  • AWS CLI:aws-service-access

    次のコマンドを実行して、有効にします。AWS Systems ManagerOrganizations で信頼済みサービスとしてとしてを有効にする

    $ aws organizations enable-aws-service-access \ 
    --service-principal ssm.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

Systems Manager で信頼されたアクセスを無効にする

信頼されたアクセスを無効にするアクセス許可の詳細については、」信頼されたアクセスを無効にするために必要なアクセス許可

Systems Manager では、信頼されたアクセスを必要とします。AWS Organizationsを使用して、オペレーションデータを同期します。 AWS アカウント お客様の組織の 信頼されたアクセスを無効にすると、Systems Manager はオペレーションデータの同期に失敗し、エラーが報告されます。

信頼されたアクセスを無効にするには、AWS Systems ManagerまたはAWS Organizationsツール。

重要

可能であれば、「」を使用することを強くお勧めします。AWS Systems Managerコンソールまたはツールを使用して、Organizations との統合を無効にします。これにより、することができます。AWS Systems Managerは、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップを実行します。で提供されているツールを使用して統合を無効にできない場合にのみ、これらの手順を実行してください。AWS Systems Manager。

信頼されたアクセスを無効にする場合は、AWS Systems Managerコンソールまたはツールでは、これらのステップを実行する必要はありません。

Systems Manager コンソールを使用して信頼されたアクセスを無効にするには

「」を参照してください。Systems Manager エクスプローラリソースデータ同期の削除()AWS Systems Managerユーザーガイド。信頼されたアクセスを再度有効にするには、Systems Manager Explorer 用の新しいリソースデータ同期を作成する必要があります。

信頼されたアクセスを無効にするには、AWS Organizationsコンソール、OrganizationsAWS CLIコマンドを使用するか、Organizations の API オペレーションをAWSSDK。

AWS Management Console

Organizations コンソールを使用して信頼されたサービスアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの []サービスページで、AWS Systems Managerをクリックし、サービスの名前を選択します。

  3. 選択信頼されたアクセスの無効化

  4. 確認ダイアログボックスで [] を入力します。disable[] ボックスの [] で [] を選択します。信頼されたアクセスの無効化

  5. あなただけの管理者である場合AWS Organizationsの管理者にAWS Systems Managerコンソールやツールを使ってそのサービスを無効にできるようになりました。AWS Organizations。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたサービスアクセスを無効にするには

以下を使用できます。AWS CLIサービスへの信頼されたアクセスを無効にするには、コマンドまたは API オペレーションを使用できます。

  • AWS CLI:aws-service-access

    次のコマンドを実行して、AWS Systems ManagerOrganizations で信頼済みサービスとしてとしてを有効にする

    $ aws organizations disable-aws-service-access \
    --service-principal ssm.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

Systems Manager への委任管理者アカウントの有効にするには

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールが Systems Manager の管理アクションを実行できます。それ以外の場合は、組織の管理アカウントのユーザーまたはロールのみが実行できます。これは、Systems Manager の管理から組織の管理を分離するのに役立ちます。

組織全体で Change Manager を使用する場合は、委任管理者アカウントを使用します。これは、 AWS アカウント で、変更テンプレート、変更リクエスト、変更 Runbook、および承認ワークフローを管理するためのアカウントとして指定されています。委任されたアカウントは、組織全体の変更アクティビティを管理します。Change Manager を使用するように組織をセットアップするときは、どのアカウントがこのロールを担うかを指定します。組織の管理アカウントである必要はありません。変更マネージャを 1 つのアカウントのみで使用する場合、委任管理者アカウントは必要ありません。

メンバーアカウントを Systems Manager の委任管理者として指定するには

Systems Manager エクスプローラーについては、」委任管理者の設定()AWS Systems Managerユーザーガイド

システムマネージャー変更マネージャーについては、」変更マネージャの組織と委任アカウントの設定()AWS Systems Managerユーザーガイド