AWS Organizations を使用する場合

AWS Organizations は AWS アカウント をグループとして管理するための AWS サービスです。このサービスには、アカウントのすべての請求書をグループ化し、単一の支払者によって処理可能にする一括請求 (コンソリデーティッドビリング) などの機能が備わっています。ポリシーベースのコントロールを使用して、組織のセキュリティを一元的に管理することもできます。AWS Organizations については、「AWS Organizations User Guide」を参照してください。

信頼されたアクセス

AWS Organizations を使用してアカウントをグループとして管理すると、組織のほとんどの管理タスクを組織の管理アカウントだけで実行できるようになります。デフォルトでは、組織自体の管理に関連する操作のみが含まれます。この追加機能を他の AWS サービスに拡張するには、組織とそのサービスの間の信頼されたアクセスを有効にします。信頼されたアクセスは、指定した AWS サービスに対して、組織とそこに含まれるアカウントに関する情報へのアクセス権を付与するものです。アカウント管理の信頼されたアクセスを有効にすると、アカウント管理サービスは、組織のすべてのメンバーアカウントのメタデータ (主要連絡先情報や代替連絡先情報など) にアクセスするためのアクセス許可を組織およびその管理アカウントに付与します。

詳細については、「AWS アカウント管理用の信頼されたアクセスの有効化」を参照してください。

委任管理者

信頼されたアクセスを有効にした後、メンバーアカウントのいずれかを AWS アカウント管理の委任管理者アカウントとして指定することも可能です。これにより、委任管理者アカウントは、これまで管理アカウントのみが行えた、組織内のメンバーアカウントに対するアカウント管理のメタデータ管理タスクを実行できるようになります。委任管理者アカウントは、アカウント管理サービスの管理タスクにのみアクセスできます。委任管理者アカウントは、管理者アカウントが持つ組織に対するすべての管理者アクセス権を持っているわけではありません。

詳細については、「AWS アカウント管理用の委任管理者アカウントの有効化」を参照してください。

サービスコントロールポリシー

AWS アカウント が AWS Organizations で管理される組織の一部である場合、組織の管理者はサービスコントロールポリシー (SCP)を適用して、メンバーアカウントのプリンシパルの権限を制限できます。SCP はアクセス許可を付与するものではなく、メンバーアカウントが使用できるアクセス許可を制限するフィルターです。メンバーアカウントのユーザーまたはロール (プリンシパル) は、そのアカウントに適用される SCP とプリンシパルにアタッチされた IAM アクセス許可ポリシーの両方によって許可される操作のみを実行できます。例えば、SCP を使用して、アカウントのプリンシパルが自分のアカウントの代替連絡先を変更できないように設定することもできます。

AWS アカウント に適用される SCP の例については、「AWS Organizations サービスコントロールポリシーを使用したアクセスの制限」を参照してください。