管理アカウント、信頼されたアクセス、および委任された管理者 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理アカウント、信頼されたアクセス、および委任された管理者

セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるには、簡単なアンケートに回答してください。

管理アカウント (AWS Organization Management アカウントまたは組織管理アカウントとも呼ばれます) は一意であり、AWS Organizations の他のすべてのアカウントと区別されます。これは、AWS 組織を作成するアカウントです。このアカウントから、AWS 組織に AWS アカウントを作成し、他の既存のアカウントを AWS 組織に招待し (どちらのタイプもメンバーアカウントと見なされます)、AWS 組織からアカウントを削除し、IAM 組織内のルート、OUs、またはアカウントに AWS ポリシーを適用できます。 

管理アカウントは、SCPs 組織内のすべてのメンバーアカウントに影響を与える AWS とサービスのデプロイ ( CloudTrailAWS など) を通じてユニバーサルセキュリティガードレールをデプロイします。管理アカウントのアクセス許可をさらに制限するために、これらのアクセス許可は、可能であればセキュリティアカウントなどの別の適切なアカウントに委任できます。 

管理アカウントには、支払いアカウントだけでなく、メンバーアカウントによって発生したすべての料金を支払う責任があります。AWS 組織の管理アカウントを切り替えることはできません。AWS アカウントは、一度に 1 つの AWS 組織のメンバーにしかなれません。  

管理アカウントが保持する機能と影響範囲から、このアカウントへのアクセスを制限し、必要なロールにのみアクセス許可を付与することをお勧めします。これを実現するための機能として、信頼されたアクセス委任された管理者 の 2 つがあります。信頼されたアクセスを使用して、信頼されたAWSサービスと呼ばれる指定した AWS サービスを有効にし、Word 組織とそのアカウントでユーザーに代わってタスクを実行できます。これには、信頼できるサービスにアクセス許可を付与することが含まれますが、Word IAMエンティティのアクセス許可には影響しません。信頼されたアクセスを使用して、信頼されたサービスがユーザーに代わって AWS 組織のアカウントで維持する設定と設定の詳細を指定できます。例えば、AWS SRA の「組織管理アカウント」セクションでは、 CloudTrail AWS 組織内のすべてのアカウントで a CloudTrail 組織の証跡を作成するための信頼されたアクセス権を AWS サービスに付与する方法について説明しています。

一部の AWS サービスは、AWS Organizations の委任管理者機能をサポートしています。この機能を使用すると互換性のあるサービスは、AWS 組織内の AWS メンバーアカウントを、そのサービスの AWS 組織のアカウントの管理者として登録できます。この機能は、企業内のさまざまなチームが、責任に応じて個別のアカウントを使用して環境全体で AWS サービスを柔軟に管理できるようにします。現在委任された管理者をサポートしている SRA AWS の AWS セキュリティサービスには、AWS IAM Identity Center (AWS Single Sign-On の後継サービス)、AWS Config、AWS Firewall Manager、Amazon GuardDuty、AWS IAM Access Analyzer、Amazon Macie、AWS Security Hub、Amazon Detective、AWS Audit Manager、Amazon Inspector、AWS Systems Manager などがあります。ベストプラクティスSRAとして AWS では委任管理者機能の使用が強調されており、セキュリティ関連のサービスの管理を Security Tooling アカウントに委任しています。