# AWS Organizations メンバーアカウントで特権タスクを実行する
AWS Organizations 管理アカウントと IAM の委任された管理者アカウントは、メンバーアカウントで、それ以外の場合にはルートユーザー認証情報を必要とする特権タスクを実行できます。一元化されたルートアクセスでは、これらのタスクは短期特権セッションを通じて実行されます。これらのセッションは、メンバーアカウントでルートユーザーのサインインを必要とせずに、特定の特権アクションを対象とする一時的な認証情報を提供します。
特権セッションを立ち上げると、誤って設定された Amazon S3 バケットポリシーの削除、誤って設定された Amazon SQS キューポリシーの削除、メンバーアカウントのルートユーザー認証情報の削除、メンバーアカウントのルートユーザー認証情報の再有効化を行うことができます。
**注記**
一元化されたルートアクセスを使用するには、管理アカウントまたは委任された管理者アカウントを通じて、`sts:AssumeRoot` アクセス許可を明示的に付与されたIAM ユーザーまたはロールとしてサインインする必要があります。ルートユーザーの認証情報を使用して `sts:AssumeRoot` を呼び出すことはできません。
## 前提条件
特権セッションを立ち上げる前に、次の設定が必要です:
+ 組織内で一元的なルートアクセスを有効にしたこと。この機能を有効にするステップについては、「[メンバーアカウントのルートアクセスを一元化する](id_root-enable-root-access.md)」を参照してください。
+ 管理アカウントまたは委任された管理者アカウントに、次の許可があること: `sts:AssumeRoot`
## メンバーアカウントでの特権アクションの実行 (コンソール)
**AWS マネジメントコンソール のメンバーアカウントで特権アクションのセッションを立ち上げるには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. コンソールのナビゲーションペインで、**[ルートアクセス管理]** を選択します。
1. メンバーアカウントのリストから名前を選択し、**[特権アクションを実行]** を選択します。
1. メンバーアカウントで実行する特権アクションを選択します。
+ **[Amazon S3 バケットポリシーを削除]** を選択して、すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されているバケットポリシーを削除します。
1. **[S3 を参照]** を選択して、メンバーアカウントが所有するバケットから名前を選択し、**[選択]** を選択します。
1. **[バケットポリシーを削除]** を選択します。
1. 誤って設定されたポリシーを削除した後に、Amazon S3 コンソールを使用してバケットポリシーを修正します。詳細については、「*Amazon S3 ユーザーガイド*」の「[Amazon S3 コンソールを使用したバケットポリシーの追加](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)」を参照してください。
+ すべてのプリンシパルによる Amazon SQS キューへのアクセスを拒否する Amazon Simple Queue Service リソースベースのポリシーを削除するには、**[Amazon SQS ポリシーを削除]** を選択します。
1. **[SQS キュー名]** にキュー名を入力し、**[SQS ポリシーを削除]** を選択します。
1. 誤って設定されたポリシーを削除した後に、Amazon SQS コンソールを使用してキューポリシーを修正します。詳細については、「*Amazon SQS デベロッパーガイド*」の「[Configuring an access policy in Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-add-permissions.html)」を参照してください。
+ メンバーアカウントからルートアクセスを削除するには、**[ルート認証情報を削除]** を選択します。ルートユーザー認証情報を削除すると、ルートユーザーのパスワード、アクセスキー、署名証明書が削除され、該当のメンバーアカウントの多要素認証 (MFA) が非アクティブ化されます。
1. **[ルート認証情報を削除]** を選択します。
+ メンバーアカウントのルートユーザー認証情報をリカバリするには、**[パスワードのリカバリを許可]** を選択します。
このオプションは、メンバーアカウントにルートユーザー認証情報がない場合にのみ使用できます。
1. **[パスワードのリカバリを許可]** を選択します。
1. この特権アクションを実行すると、メンバーアカウントのルートユーザーの E メール受信トレイにアクセスできるユーザーは、[ルートユーザーのパスワードをリセット](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)し、メンバーアカウントのルートユーザーにサインインできます。
## メンバーアカウントでの特権アクションの実行 (AWS CLI)
**AWS Command Line Interface からメンバーアカウントで特権アクションのセッションを立ち上げるには**
1. ルートユーザーセッションを引き受けるには、次のコマンドを使用します: [aws sts assume-root](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-root.html)。
**注記**
グローバルエンドポイントは `sts:AssumeRoot` ではサポートされていません。このリクエストはリージョンレベルの AWS STS エンドポイントに送信する必要があります。詳細については、「[AWS リージョン で AWS STS を管理する](id_credentials_temp_enable-regions.md)」を参照してください。
メンバーアカウントのために特権ルートユーザーセッションを立ち上げる際には、セッションの範囲が、セッション中に実行される特権アクションに設定されるよう、`task-policy-arn` を定義する必要があります。次のいずれかの AWS マネージドポリシーを使用して、特権セッションのアクションの範囲を設定できます。
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
管理アカウントまたは委任された管理者が特権ルートユーザーセッション中に実行できるアクションを制限するには、AWS STS 条件キー [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn) を使用できます。
次の例では、委任された管理者がルートを引き受けて、メンバーアカウント ID *111122223333* のルートユーザー認証情報を削除します。
```
aws sts assume-root \
--target-principal 111122223333 \
--task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
--duration-seconds 900
```
1. レスポンスの `SessionToken`、`AccessKeyId`、`SecretAccessKey` を使用し、メンバーアカウントで特権アクションを実行します。リクエストのユーザー名とパスワードを省略して、メンバーアカウントにデフォルト設定できます。
+ **ルートユーザー認証情報のステータスを確認します**。メンバーアカウントのルートユーザー認証情報のステータスを確認するには、次のコマンドを使用します。
+ [get-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-user.html)
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [list-access-keys](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-access-keys.html)
+ [list-signing-certificates](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-signing-certificates.html)
+ [list-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-mfa-devices.html)
+ [get-access-key-last-used](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-access-key-last-used.html)
+ **ルートユーザー認証情報を削除します**。ルートアクセスを削除するには、次のコマンドを使用します。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化して、ルートユーザーに対するすべてのアクセスとルートユーザーのすべてのリカバリを削除できます。
+ [delete-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-login-profile.html)
+ [delete-access-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-access-key.html)
+ [delete-signing-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/delete-signing-certificate.html)
+ [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html)
+ **Amazon S3 バケットポリシーを削除します**。すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されているバケットポリシーを読み取り、編集し、削除するには、次のコマンドを使用します。
+ [list-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-buckets.html)
+ [get-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-policy.html)
+ [put-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-bucket-policy.html)
+ [delete-bucket-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-bucket-policy.html)
+ **Amazon SQS ポリシーを削除します**。すべてのプリンシパルが Amazon SQS キューにアクセスすることを拒否する、Amazon Simple Queue Service のリソースベースのポリシーを表示および削除するには、次のコマンドを使用します。
+ [list-queues](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/list-queues.html)
+ [get-queue-url](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-url.html)
+ [get-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/get-queue-attributes.html)
+ [set-queue-attributes](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sqs/set-queue-attributes.html)
+ **パスワードのリカバリを許可します**。メンバーアカウントのユーザー名を表示し、ルートユーザー認証情報をリカバリするには、次のコマンドを使用します。
+ [get-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/get-login-profile.html)
+ [create-login-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-login-profile.html)
## メンバーアカウントでの特権アクションの実行 (AWS API)
**AWS API からメンバーアカウントで特権アクションのセッションを立ち上げるには**
1. ルートユーザーセッションを引き受けるには、次のコマンドを使用します: [AssumeRoot](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoot.html)。
**注記**
グローバルエンドポイントは AssumeRoot ではサポートされていません。このリクエストはリージョンレベルの AWS STS エンドポイントに送信する必要があります。詳細については、「[AWS リージョン で AWS STS を管理する](id_credentials_temp_enable-regions.md)」を参照してください。
メンバーアカウントのために特権ルートユーザーセッションを立ち上げる際には、セッションの範囲が、セッション中に実行される特権アクションに設定されるよう、`TaskPolicyArn` を定義する必要があります。次のいずれかの AWS マネージドポリシーを使用して、特権セッションのアクションの範囲を設定できます。
+ [IAMAuditRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMAuditRootUserCredentials)
+ [IAMCreateRootUserPassword](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMCreateRootUserPassword)
+ [IAMDeleteRootUserCredentials](security-iam-awsmanpol.md#security-iam-awsmanpol-IAMDeleteRootUserCredentials)
+ [S3UnlockBucketPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-S3UnlockBucketPolicy)
+ [SQSUnlockQueuePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SQSUnlockQueuePolicy)
管理アカウントまたは委任された管理者が特権ルートユーザーセッション中に実行できるアクションを制限するには、AWS STS 条件キー [sts:TaskPolicyArn](reference_policies_iam-condition-keys.md#ck_taskpolicyarn) を使用できます。
次の例では、委任された管理者は、メンバーアカウント ID *111122223333* の Amazon S3 バケットについて誤って設定されたリソースベースのポリシーを読み取り、編集し、削除するルートを引き受けます。
```
https://sts.us-east-2.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRoot
&TargetPrincipal=111122223333
&PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy
&DurationSeconds 900
```
1. レスポンスの `SessionToken`、`AccessKeyId`、`SecretAccessKey` を使用し、メンバーアカウントで特権アクションを実行します。リクエストのユーザー名とパスワードを省略して、メンバーアカウントにデフォルト設定できます。
+ **ルートユーザー認証情報のステータスを確認します**。メンバーアカウントのルートユーザー認証情報のステータスを確認するには、次のコマンドを使用します。
+ [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
+ [ListSigningCertificates](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListSigningCertificates.html)
+ [ListMFADevices](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADevices.html)
+ [GetAccessKeyLastUsed](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
+ **ルートユーザー認証情報を削除します**。ルートアクセスを削除するには、次のコマンドを使用します。ルートユーザーのパスワード、アクセスキー、署名証明書を削除し、多要素認証 (MFA) を非アクティブ化して、ルートユーザーに対するすべてのアクセスとルートユーザーのすべてのリカバリを削除できます。
+ [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
+ [DeleteAccessKey](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
+ [DeleteSigningCertificate](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteSigningCertificate.html)
+ [DeactivateMfaDevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
+ **Amazon S3 バケットポリシーを削除します**。すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されているバケットポリシーを読み取り、編集し、削除するには、次のコマンドを使用します。
+ [ListBuckets](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [PutBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [DeleteBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ **Amazon SQS ポリシーを削除します**。すべてのプリンシパルが Amazon SQS キューにアクセスすることを拒否する、Amazon Simple Queue Service のリソースベースのポリシーを表示および削除するには、次のコマンドを使用します。
+ [ListQueues](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_ListQueues.html)
+ [GetQueueUrl](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueUrl.html)
+ [GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)
+ [SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)
+ **パスワードのリカバリを許可します**。メンバーアカウントのユーザー名を表示し、ルートユーザー認証情報をリカバリするには、次のコマンドを使用します。
+ [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
+ [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)