管理アカウント、信頼されたアクセス、および委任された管理者

PDFRSS

AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるために、簡単なアンケートに回答してください。

管理アカウント (AWS組織管理アカウントまたは組織管理アカウントとも呼ばれます) は一意であり、AWS組織内の他のすべてのアカウントと区別されます。AWS 組織は、そのアカウントで作成します。このアカウントから、AWS組織内にAWSアカウントを作成し、他の既存のアカウントをAWS組織に招待し (どちらのタイプもメンバーアカウントと見なされます）、AWS組織からアカウントを削除し、AWS組織内のルート、OUs、またはアカウントにIAMポリシーを適用できます。 

管理アカウントは、 SCPsおよび サービスデプロイ ( などAWS CloudTrail) を通じてユニバーサルセキュリティガードレールをデプロイし、AWS組織内のすべてのメンバーアカウントに影響を与えます。管理アカウントのアクセス許可をさらに制限するために、これらのアクセス許可は、可能であればセキュリティアカウントなどの別の適切なアカウントに委任できます。 

管理アカウントには、支払いアカウントだけでなく、メンバーアカウントによって発生したすべての料金を支払う責任があります。AWS 組織の管理アカウントを切り替えることはできません。AWS アカウントが AWS 組織のメンバーになることができるのは、一度に 1 つのみです。  

管理アカウントが保持する機能と影響範囲から、このアカウントへのアクセスを制限し、必要なロールにのみアクセス許可を付与することをお勧めします。これを実現するための機能として、信頼されたアクセス と 委任された管理者 の 2 つがあります。信頼されたアクセスを使用して、信頼されたサービス と呼ばれる、指定した AWS サービスを有効にできます。これにより、AWS 組織とそのアカウントのタスクを代理で実行できるようになります。これには、信頼されたサービスにアクセス許可を付与することが含まれますが、エンティティのアクセス許可には影響しませんIAM。信頼されたアクセスを使用して、信頼されたサービスがユーザーに代わって AWS 組織のアカウントで管理する設定や構成の詳細を指定できます。例えば、 の「組織管理アカウント」セクションAWSSRAでは、AWS組織内のすべてのアカウントに CloudTrail 組織の証跡を作成するための信頼されたアクセスをAWS CloudTrail サービスに付与する方法について説明します。

一部のAWSサービスは、AWSOrganizations の委任管理者機能をサポートしています。この機能を使用すると、互換性のあるサービスはAWS、組織内の AWS メンバーアカウントを、そのサービス内のAWS組織のアカウントの管理者として登録できます。この機能により、エンタープライズ内のさまざまなチームが、それぞれの責任に応じた別々のアカウントを使用して、環境全体の AWS サービスを管理できる柔軟性がもたらされます。現在委任管理者をサポートAWSSRAしている AWSのセキュリティサービスには、AWSIAMIdentity Center ( AWS Single Sign-On の後継サービス）、AWSConfig、AWSFirewall Manager、Amazon GuardDuty、AWSIAMAccess Analyzer、Amazon Macie、AWSSecurity Hub、Amazon Detective、AWSAudit Manager、Amazon Inspector、AWSSystems Manager などがあります。ベストプラクティスAWSSRAとして、委任管理者機能の使用が で強調されており、セキュリティ関連のサービスの管理を Security Tooling アカウントに委任しています。