AWS Identity and Access Management および AWS Organizations - AWS Organizations
信頼されたアクセスを有効にする信頼されたアクセスを無効にするIAM 用の委任管理者アカウントの有効化IAM の委任された管理者の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Identity and Access Management および AWS Organizations

AWS Identity and Access Management は、 サービスへのアクセスを安全に制御するためのウェブ AWS サービスです。

IAM のサービスの最後にアクセスされたデータを使用することで、組織全体の AWS アクティビティをより詳しく把握できます。このデータを使用してサービスコントロールポリシー (SCP) を作成、更新し、組織のアカウントが使用する AWS サービスだけにアクセスを限定することができます。

設定例については、IAM ユーザーガイド情報を使用した組織単位のアクセス許可の調整を参照してください。

IAM を使用すると、ルートユーザーの認証情報を一元管理し、メンバーアカウントで特権タスクを実行できます。で IAM の信頼されたアクセスを有効にするルートアクセス管理を有効にすると AWS Organizations、メンバーアカウントのルートユーザー認証情報を一元的に保護できます。メンバーアカウントは、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりできません。IAM の管理アカウントまたは委任管理者アカウントは、短期間のルートアクセスを使用して、メンバーアカウントに対していくつかの特権タスクを実行することもできます。短期の特権セッションでは、組織内のメンバーアカウントで特権アクションを実行する範囲を絞り込むことができる一時的な認証情報が提供されます。

詳細については、「IAM ユーザーガイド」の「Centrally manage root access for member accounts」を参照してください。

次の情報は、 AWS Identity and Access Management との統合に役立ちます AWS Organizations。

IAM との信頼されたアクセスの有効化

ルートアクセス管理を有効にすると、 AWS Organizationsで IAM の信頼されたアクセスが有効になります。

IAM との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

で信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです AWS Identity and Access Management。

信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS マネジメントコンソール
Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Identity and Access Management] を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. [ AWS Identity and Access Managementの信頼されたアクセスを無効にする] ダイアログボックスで、[無効にする] と入力して確定し、[信頼されたアクセスを無効にする] を選択します。

  6. の管理者のみの場合は AWS Organizations、そのサービスがサービスコンソールまたはツール を使用して を操作する AWS Organizations ことを無効にできるようになった AWS Identity and Access Management ことを管理者に伝えます。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にすることができます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations で信頼されたサービス AWS Identity and Access Management として を無効にします。

    $ aws organizations disable-aws-service-access \
    --service-principal iam.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

IAM 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、メンバーアカウントで特権タスクを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。詳細については、「IAM ユーザーガイド」の「Perform a privileged task on an Organizations member account」を参照してください。

IAM の委任管理者を構成できるのは、組織管理アカウントの管理者のみです。

委任管理者アカウントを指定する場合は、IAM コンソールまたは API を介して、あるいは Organizations CLI または SDK オペレーションを使用して行います。

IAM の委任された管理者の無効化

組織から委任された管理者アカウントを削除できるのは、Organizations の管理者アカウントまたは IAM の委任された管理者アカウントのいずれかの管理者のみです。Organizations の DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して、委任管理者を削除できます。