翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 管理アカウントのベストプラクティス
<a name="orgs_best-practices_mgmt-acct"></a>

 AWS Organizationsの管理アカウントのセキュリティを保護するため、以下の推奨事項に従います。これらの推奨事項は、[厳密に必要とするタスクにのみルートユーザーを使用するというベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)を遵守していることを前提としています。

**Topics**
+ [管理アカウントにアクセスできるユーザーを制限する](#bp_mgmt-acct_limit-access)
+ [誰がアクセスできるかを確認、追跡する](#bp_mgmt-acct_review-access)
+ [管理アカウントは、管理アカウントが***必要***なタスクにのみ使用してください](#bp_mgmt-acct_use-mgmt)
+ [組織の管理アカウントにワークロードをデプロイすることを避ける](#bp_mgmt-acct_avoid-deploying)
+ [分散化のために管理アカウント外に責任を委任する](#bp_mgmt-acct_)

## 管理アカウントにアクセスできるユーザーを制限する
<a name="bp_mgmt-acct_limit-access"></a>

管理アカウントは、アカウント管理、ポリシー、他の AWS サービスとの統合、一括請求など、前述のすべての管理タスクにとって重要です。そのため、管理アカウントへのアクセスは、組織に変更を加える権限を必要とする管理者ユーザーのみに制限する必要があります。

## 誰がアクセスできるかを確認、追跡する
<a name="bp_mgmt-acct_review-access"></a>

管理アカウントへのアクセスを維持するには、そのアカウントと関連付けられたメールアドレス、パスワード、MFA、電話番号に社内の誰がアクセスできるかを定期的に確認する必要があります。確認は既存のビジネス上の手続きに則って行うことができます。担当者だけに適切なアクセスを限定できるよう、月ごとや四半期ごとにこの情報を確認してください。ルートユーザーの認証情報へのアクセスを回復またはリセットするプロセスが、特定の個人に依存しないようにしてください。すべてのプロセスは、誰かが不在だったとしても問題なく進められるよう設計します。

## 管理アカウントは、管理アカウントが***必要***なタスクにのみ使用してください
<a name="bp_mgmt-acct_use-mgmt"></a>

管理アカウントとそのユーザーおよびロールは、そのアカウントで実行する必要のあるタスクのみに使用することをおすすめします。すべての AWS リソースを組織 AWS アカウント 内の他の に保存し、管理アカウントから遠ざけます。リソースを他のアカウントで保持する重要な理由の一つは、管理アカウントのユーザーとロールに対する制限に Organizations サービスコントロールポリシー (SCP) を使用できないためです。また、リソースを管理アカウントから分離することで、請求書に記載される請求額が理解しやすくなります。

管理アカウントから呼び出す必要があるタスクのリストについては、「[Operations you can call from only the organization's management account](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account)」を参照してください。

## 組織の管理アカウントにワークロードをデプロイすることを避ける
<a name="bp_mgmt-acct_avoid-deploying"></a>

特権操作は組織の管理アカウント内で実行でき、SCP は管理アカウントには適用されません。そのため、管理アカウントに含まれるクラウドリソースとデータは、管理アカウントで管理する必要があるものだけに制限する必要があります。

## 分散化のために管理アカウント外に責任を委任する
<a name="bp_mgmt-acct_"></a>

可能ならば、責任とサービスを管理アカウント外に委任することをおすすめします。チームにチーム自身の権限を提供することで、管理アカウントにアクセスすることなく、各自のアカウントから組織のニーズを管理できます。さらに、組織全体でソフトウェアを共有する場合や、スタックを作成およびデプロイ AWS Service Catalog するための CloudFormation StackSets など、この機能をサポートするサービスに複数の委任管理者を登録できます。

詳細については、[「セキュリティリファレンスアーキテクチャ](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)」、[「複数のアカウントを使用して AWS 環境を整理](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)する」、および「さまざまな AWS サービスの委任管理者としてメンバーアカウントを登録する方法の[AWS のサービス で使用できる AWS Organizations](orgs_integrate_services_list.md)提案」を参照してください。

委任管理者の設定の詳細については、「[AWS アカウント管理 の委任管理者アカウントの有効化](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html)」および [の委任管理者 AWS Organizations](orgs_delegate_policies.md) を参照してください。