翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Resource Explorer および AWS Organizations

AWS Resource Explorer は、リソースの検索および検出サービスです。Resource Explorer では、インターネット検索エンジンのようなエクスペリエンスを使用して、Amazon Elastic Compute Cloud インスタンス、Amazon Kinesis Data Streams、または Amazon DynamoDB テーブルなどのリソースを調べることができます。リソースは、名前、タグ、および ID などのリソースメタデータを使用して検索できます。Resource Explorer は、クロスリージョンワークロードをシンプル化するために、アカウント内の AWS リージョン全体で動作します。

Resource Explorer をAWS Organizations に統合すると、評価対象になっている組織の AWS アカウントを複数含めることで、より広範な情報源からエビデンスを収集できます。

AWS Resource Explorer と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールは、組織内のアカウントでサポートされている操作を Resource Explorer が実行できるようにします。

このロールを削除または変更できるのは、Resource Explorer と Organizations 間における信頼されたアクセスを無効にした場合か、組織からメンバーアカウントを削除した場合のみです。

Resource Explorer がこのロールを使用する方法の詳細については、「AWS Resource Explorer ユーザーガイド」の「Using service-linked roles」を参照してください。

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Resource Explorer が使用するサービスリンクロールは、次のサービスプリンシパルにアクセス許可を付与します。

AWS Resource Explorer との信頼されたアクセスを有効にする

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Resource Explorer では、組織の委任管理者になるメンバーアカウントを指定する前に、AWS Organizations への信頼されたアクセスが必要になります。

信頼されたアクセスは、Resource Explorer コンソールまたは Organizations コンソールを使用して有効にできます。可能な場合は常に、Resource Explorer のコンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS Resource Explorer で実行可能になります。

Resource Explorer コンソールを使用して信頼されたアクセスを有効にする

信頼されたアクセスを有効にする手順については、「AWS Resource Explorer ユーザーガイド」の「Prerequisites to using Resource Explorer」を参照してください。

信頼されたアクセスの有効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスのアクセスを有効にします。

• AWS CLI: enable-aws-service-access

  次のコマンドを実行して、AWS Resource Explorer を Organizations で信頼されたサービスとして有効にします。

  $ aws organizations enable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: EnableAWSServiceAccess

Resource Explorer との信頼されたアクセスを無効にする

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS Organizations 管理アカウントの管理者だけが AWS Resource Explorer との信頼されたアクセスを無効にできます。

AWS Resource Explorer または AWS Organizations ツールを使用して信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、サービスへの信頼されたアクセスを無効にします。

• AWS CLI: disable-aws-service-access

  次のコマンドを実行し、AWS Resource Explorer を Organizations で信頼されたサービスとして無効にすることができます。

  $ aws organizations disable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: DisableAWSServiceAccess

Resource Explorer 用の委任管理者アカウントの有効化

委任管理者アカウントを使用してマルチアカウントリソースビューを作成し、組織単位または組織全体にスコープします。マルチアカウントビューは、リソース共有を作成することで、AWS Resource Access Manager 経由で組織内の任意のアカウントと共有できます。

Resource Explorer 用の委任管理者アカウントを有効にする手順については、「AWS Resource Explorer ユーザーガイド」の「セットアップ」を参照してください。

AWS Resource Explorer コンソールを使用して委任管理者を設定する場合は、Resource Explorer がユーザーに代わって信頼されたアクセスを自動的に有効化します。

AWS CLI, AWS API

AWS CLI または AWS SDK を使用して委任管理者アカウントを設定するには、次のコマンドを使用します。

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal resource-explorer-2.amazonaws.com

• AWS SDK: Organizations RegisterDelegatedAdministrator オペレーションおよびメンバーアカウントの ID 番号を呼び出して、アカウントサービス resource-explorer-2.amazonaws.com をパラメータとして識別します。

Resource Explorer 用の委任管理者の無効化

Resource Explorer 用の委任管理者を削除できるのは、Organizations の管理アカウント、または Resource Explorer の委任管理者アカウントの管理者のみです。信頼されたアクセスは、Organizations DeregisterDelegatedAdministrator CLI または SDK 操作を使用して無効にできます。