AWS Systems Manager および AWS Organizations - AWS Organizations
サービスにリンクされたロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にする委任管理者アカウントの有効化委任管理者アカウントの無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Systems Manager および AWS Organizations

AWS Systems Manager は、 リソースの可視性と制御を可能にする機能のコレクションです AWS 。次の Systems Manager 機能は、組織内のすべての AWS アカウント にわたって組織と連携します。

  • Systems Manager Explorer は、 AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Organizations と Systems Manager Explorer を使用して AWS アカウント 、組織内のすべての 間でオペレーションデータを同期できます。詳細については、AWS Systems Manager ユーザーガイドSystems Manager Explorer を参照してください。

  • Systems Manager Change Manager は、アプリケーションの設定とインフラストラクチャに対する運用上の変更をリクエスト、承認、実装、レポートするためのエンタープライズ変更管理フレームワークです。詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Change Manager」を参照してください。

  • Systems Manager OpsCenter は、オペレーションエンジニアや IT プロフェッショナルが AWS リソースに関連する運用作業項目 (OpsItems) を表示、調査、解決できる一元的な場所を提供します。Organizations OpsCenter で を使用すると、1 回のセッション中に管理アカウント (Organizations 管理アカウントまたは Systems Manager 委任管理者アカウント) と他の 1 つのアカウントから を操作する OpsItems ことができます。設定が完了すると、ユーザーは次のタイプのアクションを実行できます。

    • 別のアカウント OpsItems で作成、表示、更新します。

    • 別のアカウントの OpsItems で指定された AWS リソースに関する詳細情報を表示します。

    • Systems Manager Automation ランブックを起動して、別のアカウントの AWS リソースに関する問題を修正します。

    詳細については、AWS Systems Manager  ユーザーガイドの AWS Systems Manager OpsCenterを参照してください。

  • 高速セットアップを使用すると、頻繁に使用する AWS のサービスや機能を、推奨されるベストプラクティスですばやく設定できます。詳細については、「AWS Systems Manager ユーザーガイド」の「AWS Systems Manager Quick Setup」を参照してください。

    Systems Manager の AWS Organizations 委任管理者アカウントを登録すると、組織内の組織単位をターゲットとする高速セットアップ設定マネージャーを作成、更新、表示、削除できます。詳細については、「 ユーザーガイド」の「高速セットアップに委任管理者を使用する」を参照してください。 AWS Systems Manager

  • Systems Manager の統合コンソールを設定するときは、委任管理者アカウントを入力します。このアカウントは、クイックセットアップ、エクスプローラー、 CloudFormation StackSetsおよび Resource Explorer に AWS Organizations 委任管理者アカウントを登録するために使用されます。詳細については、「組織ユーザーガイド」の「Systems Manager 統合コンソールの設定AWS Systems Manager 」を参照してください

次の情報は、 AWS Systems Manager との統合に役立ちます AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Systems Manager はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Systems Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForAmazonSSM_AccountDiscovery

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Systems Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • ssm.amazonaws.com

Systems Manager との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

信頼されたアクセスは、Organizations ツールを使用してのみ有効にできます。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、 のいずれかで APIオペレーションを呼び出します AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Systems Manager] を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. 「 の信頼されたアクセスを有効にする AWS Systems Manager」ダイアログボックスで、「確認のために を有効にする」と入力し、「信頼されたアクセスを有効にする」を選択します。

  6. の管理者のみの場合は AWS Organizations、 の管理者 AWS Systems Manager に、そのサービスがサービスコンソール から AWS Organizations と連携できるようにしたことを伝えます。

AWS CLI, AWS API
OrganizationsCLI/ を使用して信頼されたサービスアクセスを有効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスアクセスを有効にします。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行して、 を Organizations の信頼されたサービス AWS Systems Manager として有効にします。

    $ aws organizations enable-aws-service-access \ 
    --service-principal ssm.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: E nableAWSServiceアクセス

Systems Manager との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Systems Manager では、組織 AWS アカウント 内の 間でオペレーションデータを同期 AWS Organizations するために、 との信頼されたアクセスが必要です。信頼されたアクセスを無効にすると、Systems Manager によるオペレーションデータの同期は失敗し、エラーが報告されます。

Organizations ツールを使用してのみ、信頼されたアクセスを無効にできます。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの で Organizations APIオペレーションを呼び出します AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソール にサインインします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Systems Manager] を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. 「 の信頼されたアクセスを無効にする AWS Systems Manager」ダイアログボックスで、「無効化」と入力して確認し、「信頼されたアクセスを無効にする」を選択します。

  6. の管理者のみの場合は AWS Organizations、 の管理者に、サービスコンソールまたはツール を使用して、そのサービスが で AWS Organizations 動作することを無効にできるようになった AWS Systems Manager ことを知らせます。

AWS CLI, AWS API
Organizations CLI/ を使用して信頼されたサービスアクセスを無効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスへのアクセスを無効にできます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations で信頼されたサービス AWS Systems Manager として を無効にします。

    $ aws organizations disable-aws-service-access \
    --service-principal ssm.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: D isableAWSServiceアクセス

Systems Manager 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Systems Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Systems Manager の管理を分離するのに有効です。

組織全体で Change Manager を使用する場合は、委任管理者アカウントを使用します。これは、Change Manager で変更テンプレート、変更リクエスト、変更ランブック、および承認ワークフローを管理するためのアカウントとして AWS アカウント 指定されている です。この委任アカウントにより、組織全体の変更アクティビティが管理されます。Change Manager を使用するように組織をセットアップするときは、どのアカウントがこのロールを担うかを指定します。組織の管理アカウントである必要はありません。Change Manager を単一のアカウントのみで使用する場合、委任管理者アカウントは必要ありません。

メンバーアカウントを代理管理者として指定するには、「AWS Systems Manager ユーザーガイド」の以下のトピックを参照してください。

Systems Manager の委任管理者アカウントの無効化

委任された管理者の登録を解除するには、 AWS Systems Manager ユーザーガイドの以下のトピックを参照してください。