AWSNetwork Manager とAWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にする委任管理者を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSNetwork Manager とAWS Organizations

Network Manager を使用すると、AWS アカウント、リージョン、リージョン、およびオンプレミス ロケーションにわたって、AWS Cloud WAN コアネットワークおよび AWS Transit Gateway ネットワークを一元管理できます。マルチアカウントサポートを使用すると、任意 AWS のアカウントに対して単一のグローバルネットワークを作成し、Network Manager コンソールを使用して、複数のアカウントのトランジットゲートウェイをグローバルネットワークに登録できます。

Network Manager と Organizations 間の信頼されたアクセスを有効にすると、登録された委任管理者と管理アカウントは、メンバーアカウントに展開されたサービスリンクの役割を利用して、グローバルネットワークに接続されたリソースを説明できます。Network Manager コンソールから、登録された委任管理者と管理アカウントは、メンバーアカウントに展開されたカスタム IAM ロール CloudWatch-CrossAccountSharingRole (マルチアカウントの監視とイベント、およびマルチアアクウントリソースの表示と管理のための IAMRoleForAWSNetworkManagerCrossAccountResourceAccessコンソールスイッチのロールアクセス) を引き受けることができます。

重要

  • Network Manager コンソールを使用してマルチアカウント設定 (信頼されたアクセスの有効化/無効化、委任された管理者の登録/解除)を管理することを強くお勧めします。コンソールからこれらの設定を管理すると、マルチアカウント・アクセスに必要なメンバーアカウントに、必要なすべてのサービスにリンクされたロールとカスタム IAM ロールが自動的に配備され、管理されます。

  • ネットワークマネージャコンソールでネットワーク・マネージャの信頼されたアクセスを有効にすると、CloudFormationコンソールも有効にします。ネットワーク・マネージャーは StackSets を使用して、マルチアカウント管理に必要なカスタム IAM ロールを配備にします。

Network Manager とOrganizations の統合の詳細については、「Amazon VPC ユーザーガイド」の「AWS Organizations のネットワークマネージャで複数のアカウントを管理する」を参照してください。

AWS Network Manager with AWS Organizations.との統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、リストされた組織アカウントに以下のようなサービスにリンクされたロールが自動的に作成されます。これらのロールにより、Nettwork Managerは組織のアカウント内でサポートされている操作を実行できます。信頼されたアクセスを無効にした場合、Network Manager は組織内のアカウントからこれらのロールを削除しません。IAM コンソールを使用して手動で削除できます。

管理アカウント

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin

  • AWSServiceRoleForCloudWatchCrossAccount

メンバーアカウント

  • AWSServiceRoleForNetworkManager

  • AWSServiceRoleForCloudFormationStackSetsOrgMember

メンバーアカウントを委任された管理者として登録すると、委任された管理者アカウントに次の追加ロールが自動的に作成されます。

  • AWSServiceRoleForCloudWatchCrossAccount

サービスにリンクされたロールで使用されるサービスプリンシパル

サービスにリンクされたロールは、そのロールに定義された信頼関係によって承認されたサービスプリンシパルのみが担うことができる。

  • AWSServiceRoleForNetworkManager service-linked ロールの場合、networkmanager.amazonaws.com はアクセス権を持つ唯一のサービスプリンシパルです。

  • AWSServiceRoleForCloudFormationStackSetsOrgMember サービスにリンクされたロール member.org.stacksets.cloudformation.amazonaws.com の場合、アクセス権を持つ唯一のサービスプリンシパルです。

  • AWSServiceRoleForCloudFormationStackSetsOrgAdmin サービスにリンクされたロール stacksets.cloudformation.amazonaws.com の場合、アクセス権を持つ唯一のサービスプリンシパルです。

  • AWSServiceRoleForCloudWatchCrossAccount サービスにリンクされたロール cloudwatch-crossaccount.amazonaws.com の場合、アクセス権を持つ唯一のサービスプリンシパルです。

これらのロールを削除すると、ネットワーク・マネージャのマルチ・アカウント機能が損なわれます。

ネットワーク・マネージャーで信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Organizations 管理アカウントの管理者のみが、他の AWS サービスとの信頼されたアクセスを有効にする権限を持っています。権限の問題を回避するために、ネットワーク・マネージャコンソールを必ず使用して、信頼されたアクセスを有効にします。詳細については、「Amazon VPC ユーザーガイド」の「Manage multiple accounts in Network Manager with AWS Organizations」を参照してください。

Network Manager との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Organizations 管理アカウントの管理者のみが、他の AWS サービスとの信頼されたアクセスを無効にする権限を持っています。

重要

信頼されたアクセスを無効にするには、Network Manager コンソールを使用することを強くお勧めします。AWS CLI、API や CloudFormation コンソールを使用するなど、他の方法で信頼されたアクセスを無効にした場合、デプロイ済みの CloudFormation StackSets とカスタム IAM ロールが適切にクリーンアップされない場合があります。信頼されたサービスのアクセスを無効にするには、Network Manager コンソールにサイン・インします。

Network Manager 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 Network Manager の管理アクションを実行できるようになります。それ以外の場合は、この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、Network Manager の管理を組織の管理から分離するのに有効です。

メンバーアカウントを組織の StackSets の「委任管理者として指定する」手順については、「Amazon VPC ユーザーガイド」の委任された管理者の登録を参照してください。