AWS Trusted Advisor および AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Trusted Advisor および AWS Organizations

AWS Trusted Advisor では、お客様の AWS 環境を検査し、コスト削減、システムの可用性とパフォーマンスの向上、セキュリティギャップの解消につながる推奨事項をお知らせします。Organizations と統合すると、組織内のすべてのアカウントの Trusted Advisor チェック結果を受け取り、チェックや影響を受けるリソースについてまとめたレポートをダウンロードできます。

詳細については、AWS Support ユーザーガイドOrganizational view for AWS Trusted Advisor を参照してください。

AWS Trusted Advisor と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Trusted Advisor はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Trusted Advisor と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForTrustedAdvisorReporting

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Trusted Advisor によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • reporting.trustedadvisor.amazonaws.com

Trusted Advisor との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

AWS Trusted Advisor だけで、信頼されたアクセスを有効にできます。

Trusted Advisor コンソールを使用して信頼されたアクセスを有効にするには

AWS Support ユーザーガイド組織ビューの有効化を参照してください。

Trusted Advisor との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

この機能を無効にすると、組織内の他のすべてのアカウントで、Trusted Advisor によるチェック情報の記録が停止します。既存のレポートの表示やダウンロード、新しいレポートの作成はできなくなります。

AWS Trusted Advisor または AWS Organizations ツールを使用して信頼されたアクセスを無効にできます。

重要

Organizations との統合の無効化には、可能な場合は常に AWS Trusted Advisor コンソールまたはツールを使用することを強くお勧めします。そうすることで、AWS Trusted Advisor は、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップを実行できます。ここに示す手順は、統合の無効化に AWS Trusted Advisor が提供するツールを使用できない場合にのみ実施してください。

AWS Trusted Advisor コンソールまたはツールを使用して信頼されたアクセスを無効にする場合、これらのステップを実施する必要はありません。

Trusted Advisor コンソールを使用して信頼されたアクセスを無効にするには

AWS Support ユーザーガイド組織ビューの無効化を参照してください。

信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、AWS Trusted Advisor を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal reporting.trustedadvisor.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

Trusted Advisor 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、指定されたアカウントのユーザーおよびロールは組織のその他のメンバーアカウントの AWS アカウント メタデータを管理できるようになります。委任された管理者アカウントを有効にしない場合、これらのタスクは組織の管理アカウントによってのみ実行できます。この手法は、組織の管理からアカウントの詳細の管理を分離するのに有効です。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Trusted Advisor の委任管理者としてメンバーアカウントを設定できます

Trusted Advisor の委任された管理者アカウントを有効にする方法については、AWS Support ユーザーガイドの「委任された管理者」を参照してください。

AWS CLI, AWS API

AWS CLI または AWS SDK を使用して委任管理者アカウントを設定するには、次のコマンドを使用します。

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal reporting.trustedadvisor.amazonaws.com
  • AWS SDK: Organizations RegisterDelegatedAdministrator オペレーションおよびメンバーアカウントの ID 番号を呼び出して、アカウントサービスプリンシパル account.amazonaws.com をパラメータとして識別します。

Trusted Advisor の委任された管理者の無効化

Trusted Advisor コンソール、あるいは Organizations DeregisterDelegatedAdministrator または SDK オペレーションを使用して、委任された管理者を削除できます。Trusted Advisor コンソールを使用して、委任された管理 Trusted Advisor アカウントを無効にする方法については、AWS Support ユーザーガイドの「Deregister delegated administrators」(委任された管理者の登録解除) を参照してください。