AWS Organizations でメンバーアカウントのルートユーザーの E メールアドレスを更新する - AWS Organizations
メンバーアカウントのルートユーザーの E メールアドレスを更新する

AWS Organizations でメンバーアカウントのルートユーザーの E メールアドレスを更新する

セキュリティと管理の回復力を高めるため、管理アカウントの IAM プリンシパル (必要な IAM アクセス許可を持つ) は、各アカウントに個別にサインインすることなく、メンバーアカウントのルートユーザーの E メールアドレス (プライマリ E メールアドレスとも呼ばれます) を一元的に更新できます。これにより、管理アカウント (または委任管理者アカウント) の管理者は、メンバーアカウントをより細かく制御できます。また、元のルートユーザーの E メールアドレスや管理認証情報へのアクセスを失った場合でも、AWS Organizations 全体の任意のメンバーアカウントのルートユーザーの E メールアドレスを最新の状態に保つことができます。

管理アカウント管理者がルートユーザーの E メールアドレスを一元的に変更する場合、パスワードと MFA 設定の両方が変更前と同じままになります。MFA は、アカウントのルートユーザーの E メールアドレスとプライマリ連絡先電話番号を制御できるユーザーがバイパスできることに注意してください。

組織内のメンバーアカウントのルートユーザーの E メールアドレスを更新するには、組織で以前にすべての機能モードが有効になっている必要があります。統合請求モードの AWS Organizations または組織に含まれていないアカウントは、ルートユーザーの E メールアドレスを一元的に更新できません。API でサポートされていないアカウントのルートユーザーの E メールアドレスを変更するユーザーは、引き続き Billing Console を使用してルートユーザーの E メールアドレスを管理する必要があります。

メンバーアカウントのルートユーザーの E メールアドレスを更新する

ルートユーザーの E メールアドレスを更新するには、次の手順に従います。

AWS Management Console
メモ

  • 組織内の管理アカウントまたは委任管理者アカウントからメンバーアカウントに対してこの手順を実行するには、アカウント管理サービス用の信頼されたアクセスを有効にする必要があります。

  • この手順を使用して、操作の呼び出しに使用する組織と異なる組織のアカウントにアクセスすることはできません。

AWS Organizations コンソールを使用してメンバーアカウントのルートユーザーの E メールアドレスを更新するには

  1. 組織内の管理アカウントのルートユーザー (または同等の IAM アクセス許可) としてAWS Organizations コンソールにサインインします。

  2. [AWS アカウント] ページで、ルートユーザーの E メールアドレスを更新するメンバーアカウントを選択します。

  3. [アカウントの詳細] セクションで、[アクション] ボタンを選択し、[E メールアドレスの更新] を選択します。

  4. [E メール] で、ルートユーザーの新しい E メールアドレスを入力し、[保存] を選択します。これにより、新しい E メールアドレスにワンタイムパスワード (OTP) が送信されます。

    注記

    コードを待っている間に Organizations コンソールでこのページを閉じる必要がある場合は、コードの送信から 24 時間以内に OTP プロセスを返して終了できます。これを行うには、[アカウントの詳細] ページで [アクション] ボタンを選択し、[E メール更新の完了] を選択します。

  5. [検証コード] で、前のステップで新しい E メールアドレスに送信されたコードを入力し、[確認] を選択します。これにより、アカウントのルートユーザーの E メールアドレスに更新がコミットされます。

AWS CLI & AWS SDKs

ルートユーザーの E メールアドレス (プライマリ E メールアドレスとも呼ばれます) を取得または更新するには、次の AWS CLI コマンドまたは AWS SDK と同等のオペレーションを使用します。

メモ

  • 組織内の管理アカウントまたは委任管理者アカウントからメンバーアカウントに対してこれらの操作を実行するには、アカウント管理サービス用の信頼されたアクセスを有効にする必要があります。

  • 操作の呼び出しに使用する組織と異なる組織のアカウントにアクセスすることはできません。

最小アクセス許可

各操作については、その操作に対応するアクセス許可が必要です。

  • account:GetPrimaryEmail

  • account:StartPrimaryEmailUpdate

  • account:AcceptPrimaryEmailUpdate

これらのアクセス許可を個別に使用すると、一部のユーザーにルートユーザーの E メールアドレス情報の読み取りのみを許可し、他のユーザーには読み取りと書き込みの両方の許可を付与するといったことができるようになります。

ルートユーザーの E メール更新プロセスを完了するには、以下の例に示す順序でプライマリ E メール API を一緒に使用する必要があります。

GetPrimaryEmail

次の例では、組織内の指定されたメンバーアカウントからルートユーザーの E メールアドレスを取得します。使用される認証情報は、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのいずれかから取得する必要があります。

$ aws account get-primary-email --account-id 123456789012
StartPrimaryEmailUpdate

次の例では、ルートユーザーの E メールアドレスの更新プロセスを開始し、新しい E メールアドレスを識別し、組織内の指定されたメンバーアカウントの新しい E メールアドレスにワンタイムパスワード (OTP) を送信します。使用される認証情報は、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのいずれかから取得する必要があります。

$ aws account start-primary-email-update --account-id 123456789012 --primary-email john@examplecorp.com
AcceptPrimaryEmailUpdate

次の例では、OTP コードを受け入れ、新しい E メールアドレスを組織内の指定されたメンバーアカウントに設定します。使用される認証情報は、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのいずれかから取得する必要があります。

$ aws account accept-primary-email-update --account-id 123456789012 --otp 12345678 --primary-email john@examplecorp.com