翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用するタイミング AWS Organizations
<a name="using-orgs"></a>

AWS Organizations は、 をグループ AWS アカウント として管理するために使用できる AWS サービスです。このサービスには、アカウントのすべての請求書をグループ化し、単一の支払者によって処理可能にする一括請求 (コンソリデーティッドビリング) などの機能が備わっています。ポリシーベースのコントロールを使用して、組織のセキュリティを一元的に管理することもできます。詳細については AWS Organizations、[AWS Organizations 「 ユーザーガイド](https://docs.aws.amazon.com/organizations/latest/userguide/)」を参照してください。

**信頼されたアクセス**

 AWS Organizations を使用してアカウントをグループとして管理する場合、組織のほとんどの管理タスクは組織の*管理アカウント*でのみ実行できます。デフォルトでは、組織自体の管理に関連する操作のみが含まれます。Organizations とその AWS サービス間の*信頼されたアクセス*を有効にすることで、この追加機能を他の サービスに拡張できます。信頼されたアクセスは、組織とそれに含まれるアカウントに関する情報にアクセスするためのアクセス許可を指定された AWS サービスに付与します。アカウント管理の信頼されたアクセスを有効にすると、アカウント管理サービスは、組織のすべてのメンバーアカウントのメタデータ (主要連絡先情報や代替連絡先情報など) にアクセスするためのアクセス許可を組織およびその管理アカウントに付与します。

詳細については、「[AWS アカウント管理の信頼されたアクセスを有効にする](using-orgs-trusted-access.md)」を参照してください。

**委任管理者**

信頼されたアクセスを有効にしたら、いずれかのメンバーアカウントを AWS アカウント管理の*委任管理者*アカウントとして指定することもできます。これにより、委任管理者アカウントは、これまで管理アカウントのみが行えた、組織内のメンバーアカウントに対するアカウント管理のメタデータ管理タスクを実行できるようになります。委任管理者アカウントは、アカウント管理サービスの管理タスクにのみアクセスできます。委任管理者アカウントは、管理者アカウントが持つ組織に対するすべての管理者アクセス権を持っているわけではありません。

詳細については、「[アカウント管理の委任管理者 AWS アカウントを有効にする](using-orgs-delegated-admin.md)」を参照してください。

**サービスコントロールポリシー**

 AWS アカウント が によって管理されている組織の一部である場合 AWS Organizations、組織の管理者は、メンバーアカウントのプリンシパルが実行できる操作を制限できる[サービスコントロールポリシー (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) を適用できます。SCP はアクセス許可を付与するものではなく、メンバーアカウントが使用できるアクセス許可を制限するフィルターです。メンバーアカウントのユーザーまたはロール (*プリンシパル*) は、そのアカウントに適用される SCP とプリンシパルにアタッチされた IAM アクセス許可ポリシーの両方によって許可される操作のみを実行できます。例えば、SCP を使用して、アカウントのプリンシパルが自分のアカウントの代替連絡先を変更できないように設定することもできます。

が適用される SCPs「」を参照してください[AWS Organizations サービスコントロールポリシーを使用してアクセスを制限する](using-orgs-example-scps.md)。 AWS アカウント

# AWS アカウント管理の信頼されたアクセスを有効にする
<a name="using-orgs-trusted-access"></a>

 AWS アカウント管理の信頼されたアクセスを有効にすると、管理アカウントの管理者は、 の各メンバーアカウントに固有の情報とメタデータ (プライマリまたは代替の連絡先の詳細など) を変更できます AWS Organizations。詳細については、「*AWS Organizations ユーザーガイド*」の「[AWS Account Management and AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-account.html#integrate-enable-ta-account)」を参照してください。信頼されたアクセスの仕組みに関する一般的な情報については、[「他の AWS サービス AWS Organizations での の使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。

信頼されたアクセスが有効化されたら、`accountID` パラメータをサポートする[アカウント管理 API オペレーション](API_Operations.md)で、このパラメータを使用できるようになります。このパラメータを正常に使用できるのは、管理アカウントの認証情報、または組織の委任管理者アカウントの認証情報 (委任管理者アカウントを有効にしている場合) を使用してオペレーションを呼び出した場合のみです。詳細については、「[アカウント管理の委任管理者 AWS アカウントを有効にする](using-orgs-delegated-admin.md)」を参照してください。

組織内のアカウント管理用の信頼されたアクセスを有効にするには、次の手順を使用します。

**最小アクセス許可**  
これらのタスクを実行するには、以下の要件を満たす必要があります。  
これは、組織の管理アカウントからのみ実行できます。
組織で、[すべての機能が有効になっている](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)必要があります。

------
#### [ AWS マネジメントコンソール ]

**AWS アカウント管理の信頼されたアクセスを有効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサイン・インするか、IAM ロールを引き受けるか、ルートユーザーとしてサイン・インする (推奨されません) 必要があります。

1. ナビゲーションペインで、**[Services]** (サービス) を選択します。

1. サービスのリストで **[AWS Account Management]** (アカウント管理) を選択します。

1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。

1. ** AWS 「アカウント管理の信頼されたアクセスを有効にする**」ダイアログボックスで、**「有効化**して確認します」と入力し、**「信頼されたアクセスを有効にする**」を選択します。

------
#### [ AWS CLI & SDKs ]

**AWS アカウント管理の信頼されたアクセスを有効にするには**  
次のコマンドの実行後に、組織の管理アカウントの認証情報を使用して、`--accountId` パラメータを使用するアカウント管理 API オペレーションを呼び出し、組織内のメンバーアカウントを参照するすことができます。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  次の の例では、呼び出し元の AWS アカウントの組織でアカウント管理の信頼されたアクセスを有効にします。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal account.amazonaws.com
  ```

  このコマンドは成功時に出力を生成しません。

------

# アカウント管理の委任管理者 AWS アカウントを有効にする
<a name="using-orgs-delegated-admin"></a>

委任管理者アカウントを有効にして、 の他のメンバーアカウントの AWS アカウント管理 API オペレーションを呼び出すことができます AWS Organizations。組織の委任管理者アカウントを登録すると、そのアカウントのユーザーとロールは、オプションの `AccountId`パラメータをサポートすることで Organizations モードで機能できる `account`名前空間で AWS CLI および AWS SDK オペレーションを呼び出すことができます。

組織内のメンバーアカウントを委任管理者アカウントとして登録するには、以下の手順を使用します。

------
#### [ AWS CLI & SDKs ]

**アカウント管理サービス用の委任管理者アカウントを登録するには**  
次のコマンドを使用して、アカウント管理サービス用の委任管理者を有効にすることができます。

**最小アクセス許可**  
これらのタスクを実行するには、以下の要件を満たす必要があります。  
これは、組織の管理アカウントからのみ実行できます。
組織で、[すべての機能が有効になっている](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)必要があります。
[組織内のアカウント管理で信頼されたアクセスが有効にになっている](using-orgs-trusted-access.md)必要があります。

次のサービスプリンシパルを指定する必要があります。

```
account.amazonaws.com
```
+ AWS CLI: [register-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/register-delegated-administrator.html)

  次の例では、組織のメンバーアカウントをアカウント管理サービスの委任管理者として登録します。

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal account.amazonaws.com
  ```

  このコマンドは成功時に出力を生成しません。

  このコマンドを実行したら、アカウント 123456789012 の認証情報を使用して、 `--account-id`パラメータを使用して組織内のメンバーアカウントを参照するアカウント管理 AWS CLI および SDK API オペレーションを呼び出すことができます。

------
#### [ AWS マネジメントコンソール ]

このタスクは、 AWS アカウント管理コンソールではサポートされていません。このタスクは、 AWS CLI またはいずれかの AWS SDKs からの API オペレーションを使用してのみ実行できます。

------

# AWS Organizations サービスコントロールポリシーを使用してアクセスを制限する
<a name="using-orgs-example-scps"></a>

このトピックでは、 AWS Organizations のサービスコントロールポリシー (SCP) を使用して組織のアカウントのユーザーやロールが実行できる操作を制限する方法を、例を示して説明します。サービスコントロールポリシーの詳細については、 *AWS Organizations ユーザーガイド*の以下のトピックを参照してください。
+ [SCP の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [OU およびアカウントに SCP をアタッチする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)
+ [SCP についての戦略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
+ [SCP ポリシー構文](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)

**Example 例 1: アカウントが自分の代替連絡先を変更できないようにする**  
次の例は、[スタンドアロンアカウントモード](manage-acct-api-modes-of-operation.md)で `PutAlternateContact` と `DeleteAlternateContact` の操作がどのメンバーアカウントからも呼び出されないようにするものです。これにより、影響を受けるアカウントのプリンシパルが自分の代替連絡先を変更できなくなります。    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "arn:aws:account::*:account" ]
        }
    ]
}
```

**Example 例 2: 組織内の他のメンバーアカウントの代替連絡先をメンバーアカウントに変更できないようにする**  
次の例では、`Resource` 要素を「\$1」として一般化しており、これは要素が[スタンドアロンモード](manage-acct-api-modes-of-operation.md)と組織モードのリクエストの両方に適用されることを意味します。つまり、アカウント管理についてと委任管理者アカウントでも、SCP が適用されると組織内の任意のアカウントの代替連絡先を変更できなくなります。    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "*" ]
        }
    ]
}
```

**Example 例 3: OU のメンバーアカウントが独自の代替連絡先を変更できないようにする**  
次の SCP の例には、アカウントの組織パスと 2 つの OU のリストを比較する条件が含まれています。これにより、指定された OU 内の任意のアカウントのプリンシパルが独自の代替連絡先を変更できないようにブロックされます。