IAM Access Analyzer の代理管理者 - AWS Identity and Access Management

IAM Access Analyzer の代理管理者

AWS Organizations 管理アカウントで AWS Identity and Access Management Access Analyzer を設定している場合は、組織の IAM Access Analyzer を管理するための代理管理者として組織内のメンバーアカウントを追加できます。代理管理者には、組織内でアナライザーを作成および管理するためのアクセス許可があります。管理アカウントのみが代理管理者を追加できます。

IAM Access Analyzer の代理管理者は、組織全体のアクセスを分析するアナライザーを作成および管理するためのアクセス許可を持つ、組織内のメンバーアカウントです。代理管理者を追加、削除、または変更できるのは、管理アカウントのみです。

代理管理者を追加した場合は、後で代理管理者のアカウントを別のものに変更できます。これを行うと、以前の代理管理者アカウントは、組織全体のアクセスを分析するためにそのアカウントを使用して作成されたすべてのアナライザーに対するアクセス許可を失います。これらのアナライザーは、無効状態に移行し、新しい結果を生成したり、既存の結果を更新したりしなくなります。これらのアナライザーの既存の調果にもアクセスできなくなります。後で、このアカウントを代理管理者として設定することで、アナライザーと結果に再度アクセスできます。同じアカウントを代理管理者として使用しないことがわかっている場合は、代理管理者を変更する前にアナライザーを削除することもできます。これにより、すべての生成された結果が削除されます。新しい代理管理者で新しいアナライザーを作成すると、同じ結果の新しいインスタンスが生成されます。結果は、失われることなく、別のアカウントの新しいアナライザー用に生成されます。また、組織の管理アカウントには管理者権限もあるため、このアカウントを使用して組織の結果に引き続きアクセスできます。新しい代理管理者は、組織内のリソースのモニタリングを開始するために、IAM Access Analyzer の新しいアナライザーを作成する必要があります。

代理管理者が AWS 組織から離れると、代理管理権限はアカウントから削除されます。信頼ゾーンとして組織を持つアカウント内のすべてのアナライザーは、無効状態に移行します。これらのアナライザーの既存の調果にもアクセスできなくなります。

管理アカウントで初めてアナライザーを設定する場合は、IAM Access Analyzer コンソールの [アナライザー設定] ページで [代理管理者を追加] を選択できます。

注記

IAM Access Analyzer では、1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセスアナライザーに対する料金が発生します。管理アカウントと代理管理者アカウントで未使用のアクセスアナライザーを作成すると、両方の未使用のアクセスアナライザーに対する料金が発生します。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

代理管理者を変更した場合、新しい管理者は組織内のリソースへのアクセスをモニタリングするために、まずアナライザーを作成する必要があります。