翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を他の AWS Organizations で使用する AWS のサービス
<a name="orgs_integrate_services"></a>

*信頼されたアクセス*を使用して、信頼された AWS サービスと呼ばれる、指定したサポート対象*サービス*を有効にし、ユーザーに代わって組織とそのアカウントでタスクを実行できます。これには、信頼されたサービスに許可を付与する必要がありますが、ユーザーまたはロールの許可に影響は*ありません*。アクセスを有効にすると、信頼されたサービスは、組織の各アカウントに*サービスにリンクされたロール*と呼ばれる IAM ロール を必要なときに作成できるようになります。このロールには、信頼されたサービスを使用して、該当サービスのドキュメントに記載されているタスクの実行を可能にするアクセス許可ポリシーが含まれています。これにより、信頼されたサービスを使用して、ユーザーに代わって組織のアカウントで管理する設定や構成の詳細を指定できます。信頼されたサービスは、アカウントに対して管理アクションを実行する必要がある場合にのみ、サービスにリンクされたロールを作成します。必ずしも組織のすべてのアカウントで管理アクションを実行する必要はありません。<a name="important-note-about-integration"></a>

**重要**  
オプションが使用可能な場合は、信頼されたサービスのコンソール、または同等の AWS CLI または API オペレーション***のみ***を使用して、信頼されたアクセスを有効または無効にすることを***強くお勧め***します。これにより、信頼できるアクセスの有効化に必要なすべての初期化処理が信頼できるサービスによって実行可能になります。例えば、必要なリソースの作成や、信頼できるアクセスの無効にする際のリソースのクリーンアップなどです。  
信頼されたサービスを使用し、信頼されたサービスによる組織へのアクセスを有効または無効にする方法については、[AWS のサービス で使用できる AWS Organizations](orgs_integrate_services_list.md) の [**Supports Trusted Access**] (信頼されたアクセスをサポート) 列の [**Learn more**] (詳細はこちら) リンクを参照してください。  
Organizations コンソール、CLI コマンド、API オペレーションを使用してアクセスを無効にした場合の結果は次のようになります。  
そのサービスでは、サービスにリンクされたロールを組織のアカウントに作成できなくなります。つまり、組織の新しいアカウントに対するオペレーションをサービスがユーザーに代わって実行できなくなります。そのサービスによる AWS Organizationsのクリーンアップが完了するまでは、古いアカウントに対するオペレーションは引き続き実行可能です。
そのサービスでは、ロールにアタッチされている IAM ポリシーによって明示的に許可されていない限り、組織のメンバーアカウントのタスクを実行できなくなります。これには、メンバーアカウントから管理アカウントまたは委任管理者アカウント (該当する場合) へのデータ集約が含まれます。
一部のサービスはこれを検出し、統合に関連する残りのデータやリソースをクリーンアップします。一方、組織へのアクセスを停止するものの、統合を再び有効にする場合のために履歴データと設定を残しておくサービスもあります。
そうしたサービスであっても、コンソールまたはコマンドを使用して統合を無効にすると、その統合以外に用途のないリソースがクリーンアップされるようになります。組織のアカウントのリソースをクリーンアップする仕組みは、サービスによって異なります。詳しくは、 AWS の他のサービスのドキュメントを参照してください。

## 信頼されたアクセスを有効にするために必要なアクセス許可
<a name="orgs_trusted_access_perms"></a>

信頼されたアクセスには、 AWS Organizations と信頼されたサービスの 2 つのサービスに対するアクセス許可が必要です。信頼されたアクセスを有効にするには、次のいずれかのシナリオを選択します。
+  AWS Organizations と信頼されたサービスの両方にアクセス許可を持つ認証情報がある場合は、信頼されたサービスが提供するツール (コンソールまたは AWS CLI) を使用してアクセスを有効にします。これにより、サービスが AWS Organizations ユーザーに代わって で信頼されたアクセスを有効にし、サービスが組織内で動作するために必要なリソースを作成できます。

  これらの認証情報に必要な最小限のアクセス権限は次のとおりです。
  + `organizations:EnableAWSServiceAccess`。また、このオペレーションに `organizations:ServicePrincipal` 条件キーを使用し、承認されたサービスプリンシパル名のリストに対してオペレーションが行うリクエストを制限することもできます。詳細については、「[条件キー](orgs_permissions_overview.md#orgs_permissions_conditionkeys)」を参照してください。
  + `organizations:ListAWSServiceAccessForOrganization` – AWS Organizations コンソールを使用する場合に必要です。
  + 信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。
+ あるユーザーが でアクセス許可を持つ認証情報を持っている AWS Organizations が、別のユーザーが信頼されたサービスでアクセス許可を持つ認証情報を持っている場合は、次の手順を次の順序で実行します。

  1. のアクセス許可を持つ認証情報を持つユーザーは、 AWS Organizations コンソール、 AWS CLI、または AWS SDK を使用して、信頼されたサービスの信頼されたアクセスを有効にする AWS Organizations 必要があります。これにより、次のステップ (ステップ 2) を実行すると、組織の必要な設定を実行するためのアクセス権限が他のサービスに付与されます。

     最小限の AWS Organizations アクセス許可は次のとおりです。
     + `organizations:EnableAWSServiceAccess`
     + `organizations:ListAWSServiceAccessForOrganization` – AWS Organizations コンソールを使用する場合にのみ必要です

     で信頼されたアクセスを有効にする手順については AWS Organizations、「」を参照してください[信頼されたアクセスを有効または無効にする方法](#orgs_how-to-enable-disable-trusted-access)。

  1. 信頼されたサービスのアクセス許可を含む認証情報をユーザーに設定すると、そのサービスで AWS Organizationsを操作できます。これにより、信頼されたサービスを使用して、組織で操作するために必要なリソースの作成など、必要な初期化を行うようサービスに指示されます。詳細については、サービス固有の手順 ([AWS のサービス で使用できる AWS Organizations](orgs_integrate_services_list.md)) を参照してください。

## 信頼されたアクセスを無効にするために必要なアクセス許可
<a name="orgs_trusted_access_disable_perms"></a>

信頼されたサービスを使用して、組織またはそのアカウントで操作する必要がなくなった場合は、次のいずれかのシナリオを選択します。

**重要**  
サービスへの信頼されたアクセスを無効にすると、適切なアクセス権限を含むユーザーやロールは、そのサービスを使用***できなくなります***。ユーザーとロールによる AWS サービスへのアクセスを完全にブロックするには、そのアクセスを許可する IAM アクセス許可を削除するか、 で[サービスコントロールポリシー (SCPs)](orgs_manage_policies_scps.md) を使用できます AWS Organizations。  
SCP はメンバーアカウントにのみ適用できます。SCP は管理アカウントには適用されません。[管理アカウントではサービスを実行しない](orgs_best-practices_mgmt-acct.md#bp_mgmt-acct_use-mgmt)ことをお勧めします。代わりに、SCP を使用してセキュリティを制御できるメンバーアカウントで実行します。
+  AWS Organizations と信頼されたサービスの両方にアクセス許可を持つ認証情報がある場合は、信頼されたサービスで使用できるツール (コンソールまたは AWS CLI) を使用してアクセスを無効にします。無効になると、サービスは、ユーザーの代わりに、不要になったリソースを削除し、 AWS Organizations のサービスの信頼されたアクセスを無効にしてクリーンアップします。

  これらの認証情報に必要な最小限のアクセス権限は次のとおりです。
  + `organizations:DisableAWSServiceAccess`。また、このオペレーションに `organizations:ServicePrincipal` 条件キーを使用し、承認されたサービスプリンシパル名のリストに対してオペレーションが行うリクエストを制限することもできます。詳細については、「[条件キー](orgs_permissions_overview.md#orgs_permissions_conditionkeys)」を参照してください。
  + `organizations:ListAWSServiceAccessForOrganization` – AWS Organizations コンソールを使用する場合に必要です。
  + 信頼されたサービスで必要な最小限のアクセス権限は、サービスによって異なります。詳細については、信頼されたサービスのドキュメントを参照してください。
+ のアクセス許可を持つ認証情報 AWS Organizations が、信頼されたサービスのアクセス許可を持つ認証情報ではない場合は、次の手順を次の順序で実行します。

  1. まず、信頼されたサービスのアクセス権限を含むユーザーを使用して、このサービスを使用するアクセスを無効にします。これにより、信頼されたアクセスに必要なリソースを削除してクリーンアップするよう、信頼されたサービスに指示されます。詳細については、サービス固有の手順 ([AWS のサービス で使用できる AWS Organizations](orgs_integrate_services_list.md)) を参照してください。

  1. のアクセス許可を持つユーザーは、コンソール AWS CLI、または AWS SDK を使用して AWS Organizations 、信頼されたサービスのアクセスを無効に AWS Organizations できます。これにより、信頼されたサービスのアクセス許可は、組織やそのアカウントより削除されます。

     最小限の AWS Organizations アクセス許可は次のとおりです。
     + `organizations:DisableAWSServiceAccess`
     + `organizations:ListAWSServiceAccessForOrganization` – AWS Organizations コンソールを使用する場合にのみ必要です

     で信頼されたアクセスを無効にする手順については AWS Organizations、「」を参照してください[信頼されたアクセスを有効または無効にする方法](#orgs_how-to-enable-disable-trusted-access)。

## 信頼されたアクセスを有効または無効にする方法
<a name="orgs_how-to-enable-disable-trusted-access"></a>

にのみアクセス許可があり AWS Organizations 、他の AWS サービスの管理者に代わって組織への信頼されたアクセスを有効または無効にする場合は、次の手順を使用します。

**重要**  
オプションが使用可能な場合は、信頼されたサービスのコンソール、または同等の AWS CLI または API オペレーション***のみ***を使用して、信頼されたアクセスを有効または無効にすることを***強くお勧め***します。これにより、信頼できるアクセスの有効化に必要なすべての初期化処理が信頼できるサービスによって実行可能になります。例えば、必要なリソースの作成や、信頼できるアクセスの無効にする際のリソースのクリーンアップなどです。  
信頼されたサービスを使用し、信頼されたサービスによる組織へのアクセスを有効または無効にする方法については、[AWS のサービス で使用できる AWS Organizations](orgs_integrate_services_list.md) の [**Supports Trusted Access**] (信頼されたアクセスをサポート) 列の [**Learn more**] (詳細はこちら) リンクを参照してください。  
Organizations コンソール、CLI コマンド、API オペレーションを使用してアクセスを無効にした場合の結果は次のようになります。  
そのサービスでは、サービスにリンクされたロールを組織のアカウントに作成できなくなります。つまり、組織の新しいアカウントに対するオペレーションをサービスがユーザーに代わって実行できなくなります。そのサービスによる AWS Organizationsのクリーンアップが完了するまでは、古いアカウントに対するオペレーションは引き続き実行可能です。
そのサービスでは、ロールにアタッチされている IAM ポリシーによって明示的に許可されていない限り、組織のメンバーアカウントのタスクを実行できなくなります。これには、メンバーアカウントから管理アカウントまたは委任管理者アカウント (該当する場合) へのデータ集約が含まれます。
一部のサービスはこれを検出し、統合に関連する残りのデータやリソースをクリーンアップします。一方、組織へのアクセスを停止するものの、統合を再び有効にする場合のために履歴データと設定を残しておくサービスもあります。
そうしたサービスであっても、コンソールまたはコマンドを使用して統合を無効にすると、その統合以外に用途のないリソースがクリーンアップされるようになります。組織のアカウントのリソースをクリーンアップする仕組みは、サービスによって異なります。詳細については、他の AWS サービスのドキュメントを参照してください。

------
#### [ AWS マネジメントコンソール ]

**信頼されたサービスのアクセスを有効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。

1. **[サービス](https://console.aws.amazon.com/organizations/v2/home/services)**ページで、有効にするサービスの行を探し、その名前を選択します。

1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。

1. 確認ダイアログボックスで、[**Show the option to enable trusted access**] (信頼されたアクセスを有効にするオプションを表示する) チェックボックスをオンにし、ボックスに「**enable**」と入力してから、[**Enable trusted access**] (信頼されたアクセスを有効にする) を選択します。

1. アクセス*を有効にする*場合は、他の AWS サービスの管理者に、他の サービスが動作可能になったことを知らせます AWS Organizations。

**信頼されたサービスのアクセスを無効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。

1. **[サービス](https://console.aws.amazon.com/organizations/v2/home/services)**ページで、無効にするサービスの行を探し、その名前を選択します。

1. もう一方のサービスの管理者から、サービスが無効になり、そのリソースのクリーンアップが完了したことが知らされるまで待ちます。

1. 確認ダイアログボックスで、ボックスに「**disable**」と入力してから、[**Disable trusted access**] (信頼されたアクセスを無効にする) を選択します。

------
#### [ AWS CLI, AWS API ]

**信頼されたサービスのアクセスを有効または無効にするには**  
次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを有効または無効にできます。
+ AWS CLI: AWS 組織の [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
+ AWS CLI: AWS 組織の [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## AWS Organizations およびサービスにリンクされたロール
<a name="orgs_integrate_services-using_slrs"></a>

AWS Organizations は、[IAM サービスにリンクされたロール](https://aws.amazon.com/blogs/security/introducing-an-easier-way-to-delegate-permissions-to-aws-services-service-linked-roles/)を使用して、信頼されたサービスが組織のメンバーアカウントでユーザーに代わってタスクを実行できるようにします。信頼されたサービスを設定して、組織との統合のためにそのサービスを承認すると、サービスにリンクされたロールをメンバーアカウントに作成するようにそのサービスから AWS Organizations にリクエストできます。信頼されたサービスによって必要に応じて非同期的に行われますが、組織のすべてのアカウントで必ずしも同時に必要とは限りません。サービスにリンクされたロールには IAM 許可が事前定義されており、信頼されたサービスは、そのアカウント内の特定のタスクだけを実行する許可が与えられます。一般的に、サービスにリンクされたロールはすべて AWS によって管理されます。つまり、通常、ロールまたはアタッチされたポリシーを変更することはできません。

こうした変更を行えるようにするため、組織内にアカウントを作成するとき、または組織への既存のアカウントの招待が承諾されたときに、 AWS Organizations は、サービスにリンクされたロール (`AWSServiceRoleForOrganizations`) を使用してメンバーアカウントをプロビジョニングします。このロールを引き受けることができるのは、 AWS Organizations サービス自体のみです。ロールには、 が他の のサービスにリンクされたロールを作成 AWS Organizations できるようにするアクセス許可があります AWS のサービス。このサービスにリンクされたロールは、すべての組織に存在します。

組織で[一括請求機能](orgs_getting-started_concepts.md#feature-set-cb-only)のみ有効になっている場合、サービスにリンクされたロール (`AWSServiceRoleForOrganizations`) は使用されないため、削除できます。ただし、推奨はされません。組織の[すべての機能](orgs_getting-started_concepts.md#feature-set-all)を後に有効にする場合はこのロールが必要になるため、復元する必要があります。次のチェックは、すべての機能を有効にするプロセスを開始するときに実行されます。
+ **組織に*参加するように招待された*各メンバーアカウント** - アカウント管理者には、すべての機能を有効にすることへの同意を求めるリクエストが送信されます。サービスにリンクされたロール (`AWSServiceRoleForOrganizations`) が存在しない場合に適切にリクエストに同意するには、`organizations:AcceptHandshake` 許可*および* `iam:CreateServiceLinkedRole` 許可の両方がアカウント管理者に必要です。`AWSServiceRoleForOrganizations` ロールが既に存在する場合、管理者がリクエストに同意するには、`organizations:AcceptHandshake` アクセス権限のみが管理者に必要です。管理者がリクエストに同意すると、サービスにリンクされたロールが存在しない場合は によって AWS Organizations 作成されます。
+ **組織に*作成された*各メンバーアカウント** - サービスにリンクされたロールの再作成リクエストがアカウント管理者に送信されます。(メンバーアカウントの管理者には、すべての機能を有効にするリクエストが届きません。これは、管理アカウント (旧称は「マスターアカウント」) の管理者が、作成されたメンバーアカウントの所有者と見なされるためです)。サービスにリンクされたロールは、メンバーアカウント管理者がリクエストに同意すると AWS Organizations によって作成されます。ハンドシェイクを適切に承諾するには、`organizations:AcceptHandshake`* アクセス権限と *`iam:CreateServiceLinkedRole` アクセス権限の両方が管理者に必要です。

組織内のすべての機能を有効にすると、サービスにリンクされたロール `AWSServiceRoleForOrganizations` はどのアカウントからも削除できなくなります。

**重要**  
AWS Organizations SCPsサービスにリンクされたロールに影響を与えることはありません。これらのロールは、SCP 制限の対象外であるためです。

## AWSServiceRoleForDeclarativePoliciesEC2Report というサービスにリンクされたロールの使用
<a name="ec2-report-policy"></a>

`AWSServiceRoleForDeclarativePoliciesEC2Report` というサービスにリンクされたロールは、Organizations がメンバーアカウントのアカウント属性の状態を記述して宣言ポリシーレポートを作成するために使用されます。ロールのアクセス許可は、[AWS 管理ポリシー: DeclarativePoliciesEC2Report](orgs_reference_available-policies.md#security-iam-awsmanpol-DeclarativePoliciesEC2Report) で定義されます。