AWS Application Migration Service (Application Migration Service) と AWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にする委任管理者を有効にするApplication Migration Service の委任管理者の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Application Migration Service (Application Migration Service) と AWS Organizations

AWS Application Migration Service は、AWS へのアプリケーションの移行を簡略化、迅速化し、コストを削減します。Organizations と統合することで、グローバルビュー機能を使用して複数のアカウントにまたがる大規模な移行を管理できます。詳細については、「Application Migration Service user guide」の「Setting up your AWS Organizations」を参照してください。

AWS Application Migration Service と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Application Migration Service はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Application Migration Service と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForApplicationMigrationService

Application Migration Service で使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Application Migration Service によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • mgn.amazonaws.com

Application Migration Service による信頼されたアクセスの有効化

Application Migration Service で信頼されたアクセスを有効にすると、グローバルビュー機能を使用できます。これにより、複数のアカウントにまたがる大規模な移行を管理できます。グローバルビューでは、さまざまな AWS アカウントのソースサーバー、アプリ、ウェーブを可視化し、特定のアクションを実行できます。詳細については、「AWS Application Migration Service user guide」の「Setting up your AWS Organizations」を参照してください。

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

AWS Application Migration Service コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に AWS Application Migration Service コンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS Application Migration Service で実行可能になります。ここに示す手順は、統合の有効化に AWS Application Migration Service が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS Application Migration Service コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS マネジメントコンソール
Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Application Migration Service] を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. [AWS Application Migration Service の信頼されたアクセスを有効にする] ダイアログボックスで、[有効にする] と入力して確定し、[信頼されたアクセスを有効化] を選択します。

  6. AWS Organizations だけの管理者である場合は、AWS Application Migration Service の管理者に、サービスコンソールから AWS Organizations と連携するサービスが有効になったことをお知らせください。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスのアクセスを有効にします。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行して、AWS Application Migration Service を Organizations で信頼されたサービスとして有効にします。

    $ aws organizations enable-aws-service-access \ 
    --service-principal mgn.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

Application Migration Service による信頼されたアクセスの無効化

Application Migration Service との信頼されたアクセスを無効にできるのは、Organizations の管理アカウントの管理者だけです。

AWS Application Migration Service または AWS Organizations ツールを使用して信頼されたアクセスを無効にできます。

重要

Organizations との統合の無効化には、可能な場合は常に AWS Application Migration Service コンソールまたはツールを使用することを強くお勧めします。そうすることで、AWS Application Migration Service は、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップを実行できます。ここに示す手順は、統合の無効化に AWS Application Migration Service が提供するツールを使用できない場合にのみ実施してください。

AWS Application Migration Service コンソールまたはツールを使用して信頼されたアクセスを無効にする場合、これらのステップを実施する必要はありません。

信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS マネジメントコンソール
Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Application Migration Service] を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. [AWS Application Migration Service の信頼されたアクセスを無効にする] ダイアログボックスで、[無効にする] と入力して確定し、[信頼されたアクセスを無効にする] を選択します。

  6. AWS Organizations だけの管理者である場合は、AWS Application Migration Service の管理者に、サービスコンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、AWS Application Migration Service を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \
    --service-principal mgn.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

Application Migration Service の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Application Migration Service の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、Application Migration Service の管理から組織の管理を分離するのに有効です。詳細については、「Application Migration Service user guide」の「Setting up your AWS Organizations」を参照してください。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Application Migration Service の委任管理者としてメンバーアカウントを設定できます

AWS CLI, AWS API

AWS CLI または AWS SDK を使用して委任管理者アカウントを設定するには、次のコマンドを使用します。

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal mgn.amazonaws.com

  • AWS SDK: Organizations RegisterDelegatedAdministrator オペレーションおよびメンバーアカウントの ID 番号を呼び出して、アカウントサービス mgn.amazonaws.com をパラメータとして識別します。

Application Migration Service の委任管理者の無効化

Application Migration Service の委任管理者を削除できるのは、Organizations 管理アカウントの管理者だけです。Organizations の DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して、委任された管理者を削除できます。