翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用して組織のメンバーアカウントにアクセスする AWS Organizations
組織でアカウントを作成すると、ルートユーザーに加えて、OrganizationAccountAccessRole というデフォルト名の IAM ロールがAWS Organizations によって自動的に作成されます。作成時に別の名前を指定できますが、すべてのアカウントで同じ名前を付けることをお勧めします。 AWS Organizations は他のユーザーやロールを作成しません。
組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。
ルートユーザーの使用 (日常的なタスクには推奨されません)
組織に新しいメンバーアカウントを作成すると、デフォルトでは、そのアカウントにルートユーザー認証情報はありません。メンバーアカウントは、アカウントリカバリが有効になっていない限り、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりすることはできません。
メンバーアカウントのルートアクセスを一元化して、組織内の既存のメンバーアカウントのルートユーザー認証情報を削除できます。ルートユーザーの認証情報を削除すると、ルートユーザーのパスワード、アクセスキー、署名証明書が削除され、多要素認証 (MFA) が無効になります。これらのメンバーアカウントはルートユーザー認証情報を持っておらず、ルートユーザーとしてサインインできず、ルートユーザーのパスワードをリカバリできません。Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。
ルートユーザー認証情報が存在しないメンバーアカウントでルートユーザー認証情報を必要とするタスクを実行する必要がある場合は、管理者にお問い合わせください。
ルートユーザーとしてメンバーアカウントにアクセスするには、パスワード復旧のプロセスを実行する必要があります。詳細については、「AWS サインインユーザーガイド」の「AWS アカウントアカウント のルートユーザーパスワードを忘れてしまった」を参照してください。
ルートユーザーを使用してメンバーアカウントにアクセスする必要がある場合は、次のベストプラクティスに従ってください。
-
アクセス許可がより限定された他のユーザーやロールを作成する場合を除き、ルートユーザーを使用してアカウントにアクセスしないでください。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。
-
ルートユーザーで多要素認証 (MFA) を有効にします。パスワードをリセットし、root ユーザーに MFA デバイスを割り当てることができます。
ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。その他のルートユーザーセキュリティの推奨事項については、「IAM ユーザーガイド」の「 のルートユーザーのベストプラクティス AWS アカウント」を参照してください。
IAM Identity Center の信頼されたアクセスの使用
で IAM Identity Center の信頼されたアクセスを使用AWS IAM Identity Centerおよび有効にします AWS Organizations。これにより、ユーザーは企業の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられた管理アカウントまたはメンバーアカウントのリソースにアクセスできます。
詳細については、AWS IAM Identity Center ユーザーガイドのマルチアカウント許可を参照してください。IAM Identity Center への信頼されたアクセス設定については、「AWS IAM Identity Center および AWS Organizations」を参照してください。
IAM ロール OrganizationAccountAccessRole の使用
の一部として提供されるツールを使用してアカウントを作成する場合は AWS Organizations、この方法で作成するすべての新しいアカウントに存在する OrganizationAccountAccessRole という名前の事前設定済みロールを使用してアカウントにアクセスできます。詳細については、「AWS Organizations を使用した OrganizationAccountAccessRole を持つメンバーアカウントへのアクセス」を参照してください。
既存のアカウントを組織に招待し、そのアカウントによって招待が承諾されると、招待されたメンバーアカウントへのアクセスを管理アカウントに許可する IAM ロールを作成できるようになります。このロールは、 AWS Organizationsで作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。
このロールの作成については、「招待されたメンバーアカウントの OrganizationAccountAccessRole を AWS Organizations で作成する」を参照してください。
ロールの作成が完了したら、「AWS Organizations を使用した OrganizationAccountAccessRole を持つメンバーアカウントへのアクセス」のステップを使用してアクセスできます。
最小アクセス許可
組織内の他のアカウント AWS アカウント から にアクセスするには、次のアクセス許可が必要です。
-
sts:AssumeRole-Resource要素は、アスタリスク (*) に設定するか、新しいメンバーアカウントにアクセスする必要のあるユーザーが含まれるアカウントのアカウント ID 番号に設定する必要があります。
