AWS Identity and Access Management および AWS Organizations - AWS Organizations
信頼されたアクセスを有効にする信頼されたアクセスを無効にするIAM 用の委任管理者アカウントの有効化IAM の委任された管理者の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Identity and Access Management および AWS Organizations

AWS Identity and Access Management は、 サービスへのアクセスを安全に制御するためのウェブ AWS サービスです。

IAM では、ルートユーザーの認証情報を一元管理し、メンバーアカウントで特権タスクを実行できます。ルートアクセス管理を有効にすると、 IAMの への信頼されたアクセスが有効になり AWS Organizations、メンバーアカウントのルートユーザー認証情報を一元的に保護できます。メンバーアカウントは、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりできません。の管理アカウントまたは委任された管理者アカウントIAMは、短期ルートアクセスを使用してメンバーアカウントでいくつかの特権タスクを実行することもできます。短期の特権セッションでは、組織内のメンバーアカウントで特権アクションを実行する範囲を絞り込むことができる一時的な認証情報が提供されます。

詳細については、「 IAMユーザーガイド」の「メンバーアカウントのルートアクセスを一元管理する」を参照してください。

次の情報は、 AWS Identity and Access Management との統合に役立ちます AWS Organizations。

IAM との信頼されたアクセスの有効化

ルートアクセス管理を有効にすると、信頼されたアクセスが IAMの に対して有効になります AWS Organizations。

IAM との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

で信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです AWS Identity and Access Management。

Organizations ツールを使用してのみ、信頼されたアクセスを無効にできます。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの で Organizations APIオペレーションを呼び出します AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソール にサインインします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Identity and Access Management] を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. の信頼されたアクセスを無効にする AWS Identity and Access Management」ダイアログボックスで、「確認のために無効化」と入力し、「信頼されたアクセスを無効にする」を選択します。

  6. の管理者のみの場合は AWS Organizations、 の管理者に、サービスコンソールまたはツール を使用して、そのサービスが で AWS Organizations 動作することを無効にできるようになった AWS Identity and Access Management ことを知らせます。

AWS CLI, AWS API
Organizations CLI/ を使用して信頼されたサービスアクセスを無効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスへのアクセスを無効にできます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations で信頼されたサービス AWS Identity and Access Management として を無効にします。

    $ aws organizations disable-aws-service-access \
    --service-principal iam.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: D isableAWSServiceアクセス

IAM 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーとロールは、メンバーアカウントで特権タスクを実行できます。それ以外の場合は、組織の管理アカウントのユーザーまたはロールのみが実行できます。詳細については、「 ユーザーガイド」の「Organizations メンバーアカウントで特権タスクを実行する」を参照してください。 IAM

の委任管理者を設定できるのは、組織管理アカウントの管理者のみですIAM。

委任管理者アカウントは、IAMコンソールまたは からAPI、または Organizations CLIまたは SDKオペレーションを使用して指定できます。

IAM の委任された管理者の無効化

Organizations 管理アカウントまたはIAM委任管理者アカウントの管理者のみが、組織から委任管理者アカウントを削除できます。Organizations DeregisterDelegatedAdministratorCLIまたは SDKオペレーションを使用して、委任管理を無効にすることができます。