AWS Organizations を使用した組織のメンバーアカウントへのアクセス

組織に新しいメンバーアカウントを作成した時点では、アカウントにはデフォルトでルートユーザー認証情報がありません。メンバーアカウントは、アカウントリカバリが有効になっていない限り、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりすることはできません。

メンバーアカウントのルートアクセスを一元化することで、組織の既存のメンバーアカウントからルートユーザー認証情報を削除できます。ルートユーザー認証情報を削除すると、ルートユーザーのパスワード、アクセスキー、署名証明書が削除され、多要素認証 (MFA) が非アクティブ化されます。これらのメンバーアカウントはルートユーザー認証情報を持っておらず、ルートユーザーとしてサインインできず、ルートユーザーのパスワードをリカバリできません。Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。

ルートユーザー認証情報がないメンバーアカウントに対してルートユーザー認証情報を必要とするタスクを実行する必要がある場合は、管理者に問い合わせてください。

ルートユーザーとしてメンバーアカウントにアクセスする場合は、パスワード復旧プロセスを行う必要があります。詳細については、「AWS サインインユーザーガイド」の「AWS アカウント アカウント のルートユーザーパスワードを忘れてしまった」を参照してください。

ルートユーザーを使用してメンバーアカウントにアクセスする必要がある場合は、次のベストプラクティスに従ってください。

ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「IAM ユーザーガイド」の「ルートユーザー資格情報が必要なタスク」を参照してください。ルートユーザーのセキュリティに関するその他の推奨事項については、「IAM ユーザーガイド」の「AWS アカウント のルートユーザーのベストプラクティス」を参照してください。

AWS IAM Identity Center を使用し、IAM Identity Center の信頼されたアクセスを AWS Organizations で有効にします。これにより、ユーザーは企業の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられている管理アカウントまたはメンバーアカウント内のリソースにアクセスできます。

詳細については、「AWS IAM Identity Center ユーザーガイド」の「マルチアカウント権限」を参照してください。IAM Identity Center への信頼されたアクセス設定については、「AWS IAM Identity Center および AWS Organizations」を参照してください。

AWS Organizations の一部として提供されるツールを使用してアカウントを作成する場合、事前に設定済みの OrganizationAccountAccessRole というロールを使用してアカウントにアクセスします。このロールは、この方法で作成されるすべての新しいアカウントに存在します。詳細については、「AWS Organizations を使用した OrganizationAccountAccessRole を持つメンバーアカウントへのアクセス」を参照してください。

既存のアカウントを組織に招待し、そのアカウントによって招待が承諾されると、招待されたメンバーアカウントへのアクセスを管理アカウントに許可する IAM ロールを作成できるようになります。このロールは、AWS Organizations で作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。

このロールの作成については、「招待されたメンバーアカウントの OrganizationAccountAccessRole を AWS Organizations で作成する」を参照してください。

ロールの作成が完了したら、「AWS Organizations を使用した OrganizationAccountAccessRole を持つメンバーアカウントへのアクセス」のステップを使用してアクセスできます。