翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
| セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるには、簡単なアンケート |
管理アカウント (AWS Organization Management アカウントまたは組織管理アカウントとも呼ばれます) は一意であり、AWS Organizations の他のすべてのアカウントと区別されます。これは、AWS 組織を作成するアカウントです。このアカウントから、AWS 組織に AWS アカウントを作成し、他の既存のアカウントを AWS 組織に招待し (両方のタイプはメンバーアカウントと見なされます)、AWS 組織からアカウントを削除し、AWS 組織内のルート、OUs、またはアカウントに IAM ポリシーを適用できます。
管理アカウントは、AWS 組織内のすべてのメンバーアカウントに影響を与える SCPs とサービスデプロイ (AWS CloudTrail など) を通じてユニバーサルセキュリティガードレールをデプロイします。管理アカウントのアクセス許可をさらに制限するために、これらのアクセス許可は、可能であればセキュリティアカウントなどの別の適切なアカウントに委任できます。
管理アカウントには、支払いアカウントだけでなく、メンバーアカウントによって発生したすべての料金を支払う責任があります。AWS 組織の管理アカウントを切り替えることはできません。AWS アカウントは、一度に 1 つの AWS 組織のメンバーにしかできません。
管理アカウントが保持する機能と影響範囲から、このアカウントへのアクセスを制限し、必要なロールにのみアクセス許可を付与することをお勧めします。これを実現するための機能として、信頼されたアクセス と 委任された管理者 の 2 つがあります。信頼されたアクセスを使用して、信頼されたサービスと呼ばれる、指定した AWS のサービスを有効にし、AWS 組織とそのアカウントでユーザーに代わってタスクを実行できます。これには、信頼されたサービスへのアクセス許可の付与が含まれますが、IAM エンティティのアクセス許可には影響しません。信頼されたアクセスを使用して、信頼されたサービスがユーザーに代わって AWS 組織のアカウントで維持する設定と設定の詳細を指定できます。例えば、AWS SRA の組織管理アカウントセクションでは、AWS CloudTrail サービスに信頼されたアクセスを付与して、AWS 組織内のすべてのアカウントに CloudTrail 組織の証跡を作成する方法について説明します。
一部の AWS サービスは、AWS Organizations の委任管理者機能をサポートしています。この機能を使用すると、互換性のあるサービスは、AWS 組織内の AWS メンバーアカウントを、そのサービス内の AWS 組織のアカウントの管理者として登録できます。この機能により、エンタープライズ内のさまざまなチームが、責任に応じて個別のアカウントを使用して環境全体で AWS のサービスを管理する柔軟性が得られます。現在委任管理者をサポートしている AWS SRA の AWS セキュリティサービスには、AWS IAM Identity Center (AWS Single Sign-On の後継サービス)、AWS Config、AWS Firewall Manager、Amazon GuardDuty、AWS IAM Access Analyzer、Amazon Macie、AWS Security Hub、Amazon Detective、AWS Audit Manager、Amazon Inspector、AWS Systems Manager などがあります。AWS SRA では、ベストプラクティスとして委任管理者機能の使用が強調されており、セキュリティ関連のサービスの管理を Security Tooling アカウントに委任しています。
