招待されたメンバーアカウントの OrganizationAccountAccessRole を AWS Organizations で作成する - AWS Organizations

招待されたメンバーアカウントの OrganizationAccountAccessRole を AWS Organizations で作成する

デフォルトでは、組織の一部としてメンバーアカウントを作成すると、そのアカウントに AWS が自動的に作成するロールにより、そのロールを引き受けることができる管理アカウントの IAM ユーザーに、管理者用のアクセス許可が付与されます。デフォルトでは、そのロールの名前は OrganizationAccountAccessRole です。詳細については、「AWS Organizations を使用した OrganizationAccountAccessRole を持つメンバーアカウントへのアクセス」を参照してください。

しかし、組織に招待するメンバーアカウントに、管理者ロールが自動的に作成されることはありません。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (OrganizationAccountAccessRole) を使用されることをお勧めします。

AWS Management Console
メンバーアカウントの AWS Organizations 管理者ロールを作成するには
  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。メンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。使用するユーザーまたはロールには、IAM ロールとポリシーを作成するアクセス許可が必要です。

  2. IAM コンソールで、[ロール] に移動し、[ロールの作成] を選択します。

  3. [AWS アカウント] を選択し、[別の AWS アカウント] を選択します。

  4. 管理者権限を付与する管理アカウントの 12 桁のアカウント ID 番号を入力します。[オプション]で、次の点に注意してください。

    • このロールの場合、アカウントは会社内部で使用するため、[Require external ID] (外部 ID が必要) は選択しないでください。外部 ID オプションの詳細については、「IAM ユーザーガイド」の「外部 ID が適している状況」を参照してください。

    • MFA が有効化され設定されている場合は、オプションで、MFA デバイスを使用した認証を求めるように設定できます。MFA の詳細については、「IAM ユーザーガイド」の「Using multi-factor authentication (MFA) in AWS」を参照してください。

  5. [Next] を選択します。

  6. [アクセス許可を追加する] のページで、AdministratorAccess という名前の AWS 管理ポリシーを選択し、[次へ] を選択します。

  7. [名前、確認、および作成] ページで、ロール名とオプションの説明オプションを指定します。新しいアカウントのロールに割り当てられたデフォルト名との整合性を保つために、OrganizationAccountAccessRole を使用されることをお勧めします。変更をコミットするには、[ロールの作成] を選択します。

  8. 新しいロールが、使用可能なロールのリストに表示されます。新しいロールの名前を選択して詳細を表示します。その際、表示されるリンクの URL に注意します。ロールへのアクセスが必要なメンバーアカウントのユーザーにこの URL を通知します。また、ステップ 15 で必要になる [ロール ARN] も書き留めます。

  9. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。今回は、ポリシーを作成し、そのポリシーをユーザーまたはグループに割り当てるアクセス許可を持つ管理アカウントのユーザーとしてサインインします。

  10. [ポリシー] に移動し、[ポリシーの作成] を選択します。

  11. [Service] で、[STS] を選択します。

  12. [Actions] (アクション) で、[Filter] (フィルター) ボックスに「AssumeRole」と入力し始め、表示されたら、横のチェックボックスをオンにします。

  13. [リソース] で、[指定] が選択されていることを確認して、[ARN の追加] を選択します。

  14. AWS メンバーアカウント ID 番号を入力し、ステップ 1~8 で作成したロールの名前を入力します。[ARN を追加] を選択します。

  15. 複数のメンバーアカウントのロールを引き受けるためのアクセス権限を付与する場合は、アカウントごとにステップ 14 と 15 を繰り返します。

  16. [Next] を選択します。

  17. [確認と作成] ページで、新しいポリシーの名前を入力し、[ポリシーの作成] を選択し、変更を保存します。

  18. ナビゲーションペインで [ユーザーグループ] を選択し、メンバーアカウントの管理を委任するグループの名前 (チェックボックスではない) を選択します。

  19. [アクセス許可] タブを選択します。

  20. [アクセス許可を追加する] を選択し、[ポリシーのアタッチ] を選択し、次に、ステップ 11~18 で作成したポリシーを選択します。

選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URL より、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「AWS Organizations を使用した OrganizationAccountAccessRole を持つメンバーアカウントへのアクセス」を参照してください。