AWS Systems Manager: および AWS Organizations
AWS Systems Manager は、AWS リソースの可視性と制御を可能にする一連の機能です。Systems Manager には、Organizations と連動して組織のすべての AWS アカウント に対する処理を行う機能が 2 つあります。
-
Systems Manager Explorer は、AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Organizations と Systems Manager Explorer を使用することにより、組織内のすべての AWS アカウント 間でオペレーションデータを同期できます。詳細については、AWS Systems Manager ユーザーガイドの Systems Manager Explorer を参照してください。
-
Systems Manager Change Manager は、アプリケーションの設定とインフラストラクチャに対する運用上の変更をリクエスト、承認、実装、レポートするためのエンタープライズ変更管理フレームワークです。詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Change Manager」を参照してください。
AWS Systems Manager と AWS Organizations の統合には、次の情報を参考にしてください。
統合を有効にする際に作成されるサービスにリンクされたロール
信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Systems Manager はサポートされているオペレーションを組織内のアカウントで実行できます。
このロールを削除または変更できるのは、Systems Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
-
AWSServiceRoleForAmazonSSM_AccountDiscovery
サービスにリンクされたロールで使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Systems Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
-
ssm.amazonaws.com
Systems Manager との信頼されたアクセスの有効化
信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。
AWS Systems Manager コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。
Organizations との統合の有効化には、可能な場合は常に AWS Systems Manager コンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS Systems Manager で実行可能になります。ここに示す手順は、統合の有効化に AWS Systems Manager が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。
AWS Systems Manager コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。
Systems Manager コンソールを使用して信頼されたアクセスを有効にするには
AWS Organizations の管理アカウントでサインインし、リソースデータの同期を作成する必要があります。詳細については、AWS Systems Manager ユーザーガイドの複数のアカウントおよびリージョンのデータを表示するように Systems Manager Explorer を設定するを参照してください。。
信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。
Systems Manager との信頼されたアクセスの無効化
信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。
Systems Manager には、組織の AWS アカウント 全体でオペレーションデータを同期するにあたり、AWS Organizations との信頼されたアクセスが必要です。信頼されたアクセスを無効にすると、Systems Manager によるオペレーションデータの同期は失敗し、エラーが報告されます。
AWS Systems Manager または AWS Organizations ツールを使用して信頼されたアクセスを無効にできます。
Organizations との統合の無効化には、可能な場合は常に AWS Systems Manager コンソールまたはツールを使用することを強くお勧めします。そうすることで、AWS Systems Manager は、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップを実行できます。ここに示す手順は、統合の無効化に AWS Systems Manager が提供するツールを使用できない場合にのみ実施してください。
AWS Systems Manager コンソールまたはツールを使用して信頼されたアクセスを無効にする場合、これらのステップを実施する必要はありません。
Systems Manager コンソールを使用して信頼されたアクセスを無効にするには
AWS Systems Manager ユーザーガイドの Systems Manager Explorer のリソースデータ同期を削除するを参照してください。信頼されたアクセスを再度有効にするには、Systems Manager Explorer に新しいリソースデータ同期を作成する必要があります。
信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。
Systems Manager 用の委任管理者アカウントの有効化
メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Systems Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Systems Manager の管理を分離するのに有効です。
組織全体で Change Manager を使用する場合は、委任管理者アカウントを使用します。これは、Change Manager の変更テンプレート、変更リクエスト、変更ランブック、承認ワークフローを管理するアカウントとして指定された AWS アカウント です。この委任アカウントにより、組織全体の変更アクティビティが管理されます。Change Manager を使用するように組織をセットアップするときは、どのアカウントがこのロールを担うかを指定します。組織の管理アカウントである必要はありません。Change Manager を単一のアカウントのみで使用する場合、委任管理者アカウントは必要ありません。
Systems Manager の委任管理者としてメンバーアカウントを指定するには
Systems Manager Explorer については、AWS Systems Manager ユーザーガイドの委任管理者の設定を参照してください。
Systems Manager Change Manager については、AWS Systems Manager ユーザーガイドの Setting up an organization and delegated account for Change Manager を参照してください。