翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 共有アカウントとは
<a name="what-shared"></a>

AWS Control Tower では、ランディングゾーンの共有アカウント (管理アカウント、ログアーカイブアカウント、および監査アカウント) がセットアップ時にプロビジョニングされます。

## 管理アカウントとは
<a name="what-is-mgmt"></a>

これは、ランディングゾーン専用に作成したアカウントです。このアカウントは、ランディングゾーンでのすべての請求に使用されます。また、このアカウントは、OU とコントロールの管理だけでなく、アカウントの Account Factory プロビジョニングに使用することもできます。

**注記**  
AWS Control Tower 管理アカウントから運用ワークロードを実行することはお勧めしません。ワークロードを実行する別の AWS Control Tower アカウントを作成します。

詳細については、「[管理アカウント](special-accounts.md#mgmt-account)」を参照してください。

## ログアーカイブアカウントとは
<a name="what-is-log-archive"></a>

このアカウントは、ランディングゾーン内のすべてのアカウントからの API アクティビティとリソース設定に関するログのリポジトリとして使用されます。

詳細については、「[ログアーカイブアカウント](special-accounts.md#log-archive-account)」を参照してください。

## 監査アカウントとは
<a name="what-is-audit"></a>

監査アカウントは、セキュリティチームとコンプライアンスチームに対してランディングゾーンのすべてのアカウントへの読み書きアクセスを許可するように設計された制限付きのアカウントです。監査アカウントからは、Lambda 関数にのみ付与されるロールを使用して、アカウントをレビューするためにプログラムによってアクセスできます。監査アカウントでは、他のアカウントに手動でログインすることはできません。Lambda 関数とロールの詳細については、「[別の  AWS アカウント からロールを引き受けるように Lambda 関数を設定する](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role)」を参照してください。

詳細については、「[監査アカウント](special-accounts.md#audit-account)」を参照してください。