Amazon VPC Reachability Analyzer と AWS Organizations
Reachability Analyzer は、仮想プライベートクラウド (VPC) 内のソースリソースと送信先リソース間の接続テストを実行できるようにする設定分析ツールです。
Reachability Analyzer で AWS Organizations を使用すると、組織内のアカウント間のパスを追跡できます。
詳細については、「Reachability Analyzer user guide」の「Manage delegated administrator accounts in Reachability Analyzer」を参照してください。
AWS Organizations と Reachability Analyzer の統合には、次の情報を参考にしてください。
統合を有効にする際に作成されるサービスにリンクされたロール
信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Reachability Analyzer は組織内のアカウントでサポートされているオペレーションを実行できます。
このロールを削除または変更できるのは、Reachability Analyzer と Organizations 間の信頼されたアクセスを無効にする場合、または組織からメンバーアカウントを削除する場合だけです。
-
AWSServiceRoleForReachabilityAnalyzer
詳細については、「Reachability Analyzer ユーザーガイド」の「Cross-account analyses for Reachability Analyzer」(Reachability Analyzer のクロスアカウント分析) を参照してください。
サービスにリンクされたロールで使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Reachability Analyzer によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
-
reachabilityanalyzer.networkinsights.amazonaws.com
Reachability Analyzer で信頼されたアクセスを有効にするには
信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。
Reachability Analyzer の委任管理者を指定すると、組織の Reachability Analyzer に対する信頼されたアクセスが自動的に有効になります。
組織でこのサービスの委任管理者にするメンバーアカウントを指定するにあたり、Reachability Analyzer には AWS Organizations への信頼されたアクセスが必要です。
重要
-
Reachability Analyzer コンソールまたは Organizations コンソールを使用して、信頼されたアクセスを有効にできます。ただし、Reachability Analyzer コンソールまたは
EnableMultiAccountAnalysisForAwsOrganizationAPI を使用して、Organizations との統合を有効にすることを強くお勧めします。そうすることで、サービスに必要なリソースの作成などの設定が Reachability Analyzer で実行可能になります。 -
信頼されたアクセスを付与すると、サービスにリンクされたロール
AWSServiceRoleForReachabilityAnalyzerが組織の管理アカウントおよびすべてのメンバーアカウントに作成されます。Reachability Analyzer はサービスにリンクされたロールを使用して管理を許可し、委任管理者は組織内の任意のリソース間の接続分析を実行できるようになります。Reachability Analyzer は接続に関するクエリに応答するため、組織内のアカウントにおけるネットワーク要素のスナップショットを取得できます。 詳細および Reachability Analyzer で信頼されたアクセスを有効にする手順については、「Reachability Analyzer ユーザーガイド」の「Cross-account analyses for Reachability Analyzer」(Reachability Analyzer のクロスアカウント分析) を参照してください。
信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。
Reachability Analyzer で信頼されたアクセスを無効にするには
信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。
Reachability Analyzer コンソール (推奨) または Organizations コンソールを使用して、信頼されたアクセスを無効にできます。Reachability Analyzer コンソールを使用して信頼されたアクセスを無効にするには、「Reachability Analyzer ユーザーガイド」の「Cross-account analyses for Reachability Analyzer」(Reachability Analyzer のクロスアカウント分析) を参照してください。
Reachability Analyzer 用の委任管理者アカウントの有効化
委任管理者アカウントは、組織内のどのリソースでも接続分析を実行できます。詳細については、「Reachability Analyzer ユーザーガイド」の「Reachability Analyzer を AWS Organizations と統合する」を参照してください。
Reachability Analyzer の委任管理者を設定できるのは、組織の管理アカウントの管理者のみです。
委任管理者アカウントは、Reachability Analyzer コンソールから、または RegisterDelegatedAdministrator API を使用して指定できます。詳細については、「Organizations Command Reference」(Organizations コマンドリファレンス) で、「RegisterDelegatedAdministrator」を参照してください。
最小アクセス許可
Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Reachability Analyzer の委任管理者としてメンバーアカウントを設定できます
Reachability Analyzer コンソールを使用して委任管理者を設定するには、「Reachability Analyzer ユーザーガイド」の「Reachability Analyzer を AWS Organizations と統合する」を参照してください。
Reachability Analyzer 用の委任管理者の無効化
Reachability Analyzer の委任管理者を設定できるのは、組織の管理アカウントの管理者のみです。
Reachability Analyzer コンソールまたは API、あるいは Organizations DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して、委任管理者アカウントを削除できます。
Reachability Analyzer コンソールを使用して委任管理者の Reachability Analyzer アカウントを無効にするには、「Reachability Analyzer ユーザーガイド」の「Cross-account analyses for Reachability Analyzer」(Reachability Analyzer のクロスアカウント分析) を参照してください。
