翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
管理アカウント、信頼されたアクセス、および委任された管理者
| 簡単なアンケートを実施して |
管理アカウント (AWS 組織管理アカウントまたは組織管理アカウントとも呼ばれる) は、AWS Organizations の他のアカウントとは一意で区別されます。AWS 組織を作成するのはアカウントです。このアカウントから、AWS 組織に AWS アカウントを作成したり、他の既存のアカウントを AWS 組織に招待したり (どちらのタイプもメンバーアカウントと見なされます)、AWS 組織からアカウントを削除したり、AWS 組織内のルート、OU、アカウントに IAM ポリシーを適用したりできます。
管理アカウントは、SCPとサービスデプロイ(AWS Sなど CloudTrail)を通じてユニバーサルセキュリティガードレールを展開します。これらのガードレールは、AWS 組織内のすべてのメンバーアカウントに影響します。管理アカウントの権限をさらに制限するには、可能であれば、それらの権限をセキュリティアカウントなど別の適切なアカウントに委任することができます。
管理アカウントには、支払いアカウントだけでなく、メンバーアカウントによって発生したすべての料金を支払う責任があります。AWS 組織の管理アカウントを切り替えることはできません。AWS アカウントは、一度に 1 つの AWS 組織にのみメンバーになることができます。
管理アカウントが保持する機能と影響範囲から、このアカウントへのアクセスを制限し、必要なロールにのみアクセス許可を付与することをお勧めします。これを実現するための機能として、信頼されたアクセス と 委任された管理者 の 2 つがあります。信頼できるアクセスを使用すると、指定した AWS サービス (信頼できるサービスと呼ばれる) が、お客様に代わって AWS 組織とそのアカウントでタスクを実行できるようになります。これには、信頼できるサービスにアクセス権限を付与することが含まれますが、IAM エンティティのアクセス権限には影響しません。信頼できるアクセスを使用して、信頼できるサービスがお客様に代わって AWS 組織のアカウントに保持させたい設定や設定の詳細を指定できます。たとえば、AWS SRA の組織管理アカウントセクションでは、AWS CloudTrail サービスに信頼できるアクセスを許可して、AWS CloudTrail 組織内のすべてのアカウントに組織証跡を作成する方法について説明しています。
一部の AWS サービスは、AWS Organizations 委任管理者機能をサポートしています。 この機能により、互換性のあるサービスは、AWS 組織のAWS メンバーアカウントをそのサービスのAWS 組織のアカウントの管理者として登録できます。この機能により、企業内のさまざまなチームが、それぞれの責任に応じて個別のアカウントを使用して、環境全体の AWS サービスを管理できる柔軟性が得られます。現在、委任管理者をサポートしている AWS SRA の AWS セキュリティサービスには、AWS IAM アイデンティティセンター (AWS シングルサインオンの後継)、AWS Config、AWS Firewall Manager、Amazon、AWS IAM アクセスアナライザー、Amazon Macie GuardDuty、AWS Security Hub、Amazon Detective、AWS Audit Manager、Amazon Inspector、AWS Systems Manager などがあります。AWS SRA では、委任管理者機能の使用がベストプラクティスとして重視されており、セキュリティ関連サービスの管理は Security Tooling アカウントに委任しています。
