でメンバーアカウントのルートユーザーの E メールアドレスを更新する AWS Organizations - AWS Organizations
メンバーアカウントのルートユーザーの E メールアドレスを更新する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でメンバーアカウントのルートユーザーの E メールアドレスを更新する AWS Organizations

セキュリティと管理の回復力を高めるために、管理アカウント (必要なIAMアクセス許可を持つ) のIAMプリンシパルは、各アカウントに個別にサインインしなくても、メンバーアカウントのルートユーザーの E メールアドレス (プライマリ E メールアドレスとも呼ばれます) を一元的に更新できます。これにより、管理アカウント (または委任された管理者アカウント) の管理者は、メンバーアカウントをより詳細に制御できます。また、 全体の任意のメンバーアカウントのルートユーザーの E メールアドレスも保証されます。 AWS Organizations は、元のルートユーザーの E メールアドレスまたは管理者認証情報にアクセスできなくなった場合でも、最新の状態に保つことができます。

管理アカウント管理者がルートユーザーの E メールアドレスを一元的に変更した場合、パスワードとMFA設定の両方は変更前と同じままになります。アカウントのルートユーザーの E メールアドレスと主な連絡先の電話番号を制御できるユーザーは、 をバイパスMFAできることに注意してください。

組織内のメンバーアカウントのルートユーザーの E メールアドレスを更新するには、組織で以前にすべての機能モードが有効になっている必要があります。 AWS Organizations 統合請求モードまたは組織の一部ではないアカウントでは、 はルートユーザーの E メールアドレスを一元的に更新できません。でサポートされていないアカウントのルートユーザーの E メールアドレスを変更したいユーザーは、引き続き請求コンソールを使用してルートユーザーの E メールアドレスを管理APIする必要があります。

メンバーアカウントのルートユーザーの E メールアドレスを更新する

ルートユーザーの E メールアドレスを更新するには、次の手順に従います。

AWS Management Console
メモ

  • 組織内の管理アカウントまたは委任された管理者アカウントからメンバーアカウントに対してこの手順を実行するには、アカウント管理サービス の信頼されたアクセスを有効にする必要があります。

  • この手順を使用して、オペレーションの呼び出しに使用している組織とは異なる組織のアカウントにアクセスすることはできません。

を使用してメンバーアカウントのルートユーザーの E メールアドレスを更新するには AWS Organizations コンソール

  1. にサインインします。AWS Organizations 組織内の管理アカウントのルートユーザー (または同等のIAMアクセス許可) としての コンソール

  2. リポジトリの []AWS アカウント ページで、ルートユーザーの E メールアドレスを更新するメンバーアカウントを選択します。

  3. アカウントの詳細 セクションで、アクション ボタンを選択し、E メールアドレスの更新 を選択します。

  4. E メール で、ルートユーザーの新しい E メールアドレスを入力し、保存 を選択します。これにより、新しい E メールアドレスにワンタイムパスワード (OTP) が送信されます。

    注記

    コードを待っている間に Organizations コンソールでこのページを閉じる必要がある場合は、コードが送信されてから 24 時間以内にOTPプロセスを戻して終了できます。これを行うには、アカウントの詳細ページでアクションボタンを選択し、E メール更新の完了を選択します

  5. 検証コード で、前のステップで新しい E メールアドレスに送信されたコードを入力し、確認 を選択します。これにより、アカウントのルートユーザーの E メールアドレスに更新がコミットされます。

AWS CLI & AWS SDKs

ルートユーザーの E メールアドレス (プライマリ E メールアドレスとも呼ばれます) は、以下を使用して取得または更新できます。 AWS CLI コマンドまたはその AWS SDK 同等のオペレーション:

メモ

  • 組織内の管理アカウントまたは委任された管理者アカウントからメンバーアカウントに対してこれらのオペレーションを実行するには、アカウント管理サービス の信頼されたアクセスを有効にする必要があります。

  • 操作の呼び出しに使用する組織と異なる組織のアカウントにアクセスすることはできません。

最小アクセス許可

各操作については、その操作に対応するアクセス許可が必要です。

  • account:GetPrimaryEmail

  • account:StartPrimaryEmailUpdate

  • account:AcceptPrimaryEmailUpdate

これらの個々のアクセス許可を使用する場合、一部のユーザーにルートユーザーの E メールアドレス情報のみを読み取る権限を付与し、他のユーザーに読み取りと書き込みの両方の権限を付与できます。

ルートユーザーの E メール更新プロセスを完了するには、以下の例に示す順序でプライマリ E メールをAPIs一緒に使用する必要があります。

GetPrimaryEmail

次の例では、組織内の指定されたメンバーアカウントからルートユーザーの E メールアドレスを取得します。使用される認証情報は、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのいずれかから取得する必要があります。

$ aws account get-primary-email --account-id 123456789012
StartPrimaryEmailUpdate

次の例では、ルートユーザーの E メールアドレスの更新プロセスを開始し、新しい E メールアドレスを識別し、組織内の指定されたメンバーアカウントの新しい E メールアドレスにワンタイムパスワード (OTP) を送信します。使用される認証情報は、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのいずれかから取得する必要があります。

$ aws account start-primary-email-update --account-id 123456789012 --primary-email john@examplecorp.com
AcceptPrimaryEmailUpdate

次の例では、OTPコードを受け入れ、新しい E メールアドレスを組織内の指定されたメンバーアカウントに設定します。使用される認証情報は、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのいずれかから取得する必要があります。

$ aws account accept-primary-email-update --account-id 123456789012 --otp 12345678 --primary-email john@examplecorp.com