翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Identity and Access Management および AWS Organizations
AWS Identity and Access Management は、 サービスへのアクセスを安全に制御するためのウェブ AWS サービスです。
IAM の[サービスの最後にアクセスされたデータ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)を使用することで、組織全体の AWS アクティビティをより詳しく把握できます。このデータを使用して[サービスコントロールポリシー (SCP)](orgs_manage_policies_scps.md) を作成、更新し、組織のアカウントが使用する AWS サービスだけにアクセスを限定することができます。
設定例については、*IAM ユーザーガイド*の[情報を使用した組織単位のアクセス許可の調整](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)を参照してください。
IAM を使用すると、ルートユーザーの認証情報を一元管理し、メンバーアカウントで特権タスクを実行できます。で IAM の信頼されたアクセスを有効にするルートアクセス管理を有効にすると AWS Organizations、メンバーアカウントのルートユーザー認証情報を一元的に保護できます。メンバーアカウントは、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりできません。IAM の管理アカウントまたは委任管理者アカウントは、短期間のルートアクセスを使用して、メンバーアカウントに対していくつかの特権タスクを実行することもできます。短期の特権セッションでは、組織内のメンバーアカウントで特権アクションを実行する範囲を絞り込むことができる一時的な認証情報が提供されます。
詳細については、「*IAM ユーザーガイド*」の「[Centrally manage root access for member accounts](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)」を参照してください。
次の情報は、 AWS Identity and Access Management との統合に役立ちます AWS Organizations。
## IAM との信頼されたアクセスの有効化
ルートアクセス管理を有効にすると、 AWS Organizationsで IAM の信頼されたアクセスが有効になります。
## IAM との信頼されたアクセスの無効化
信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。
で信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです AWS Identity and Access Management。
信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。
信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
------
#### [ AWS マネジメントコンソール ]
**Organizations コンソールを使用して信頼されたアクセスを無効にするには**
1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。
1. ナビゲーションペインで [**Services (サービス)**] を選択します。
1. サービスのリストで **[AWS Identity and Access Management]** を選択します。
1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。
1. **[ AWS Identity and Access Managementの信頼されたアクセスを無効にする]** ダイアログボックスで、**[無効にする]** と入力して確定し、**[信頼されたアクセスを無効にする]** を選択します。
1. の管理者のみの場合は AWS Organizations、そのサービスがサービスコンソールまたはツール を使用して を操作する AWS Organizations ことを無効にできるようになった AWS Identity and Access Management ことを管理者に伝えます。
------
#### [ AWS CLI, AWS API ]
**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**
次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にできます。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
次のコマンドを実行して、Organizations で信頼されたサービス AWS Identity and Access Management として を無効にします。
```
$ aws organizations disable-aws-service-access \
--service-principal iam.amazonaws.com
```
このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## IAM 用の委任管理者アカウントの有効化
メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、メンバーアカウントで特権タスクを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。詳細については、「IAM ユーザーガイド」の「[Perform a privileged task on an Organizations member account](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-user-privileged-task.html)」を参照してください。
IAM の委任管理者を構成できるのは、組織管理アカウントの管理者のみです。
委任管理者アカウントを指定する場合は、IAM コンソールまたは API を介して、あるいは Organizations CLI または SDK オペレーションを使用して行います。
## IAM の委任された管理者の無効化
組織から委任された管理者アカウントを削除できるのは、Organizations の管理者アカウントまたは IAM の委任された管理者アカウントのいずれかの管理者のみです。Organizations の `DeregisterDelegatedAdministrator` CLI または SDK オペレーションを使用して、委任管理者を削除できます。