管理アカウント、信頼されたアクセス、および委任された管理者

管理アカウント ( AWS 組織管理アカウントまたは組織管理アカウントとも呼ばれます) は一意であり、 の他のすべてのアカウントと区別されます AWS Organizations。これは組織を作成するアカウントです AWS 。このアカウントから、 AWS 組織 AWS アカウント で を作成し、他の既存のアカウントを AWS 組織に招待し (どちらのタイプもメンバーアカウントと見なされます）、 AWS 組織からアカウントを削除し、 AWS 組織内のルート、OUs、またはアカウントに IAM ポリシーを適用できます。

管理アカウントは、組織内のすべてのメンバーアカウントに影響を与える SCPs、RCPs、サービスデプロイ (CloudTrail など) を通じてユニバーサルセキュリティガードレールをデプロイします AWS 。管理アカウントのアクセス許可をさらに制限するために、これらのアクセス許可は、可能であればセキュリティアカウントなどの別の適切なアカウントに委任できます。

管理アカウントには、支払いアカウントだけでなく、メンバーアカウントによって発生したすべての料金を支払う責任があります。 AWS 組織の管理アカウントを切り替えることはできません。は、一度に 1 つの AWS 組織のメンバーのみ AWS アカウント にすることができます。

管理アカウントが保持する機能と影響範囲から、このアカウントへのアクセスを制限し、必要なロールにのみアクセス許可を付与することをお勧めします。これを実現するための機能として、信頼されたアクセス と 委任された管理者 の 2 つがあります。信頼されたアクセスを使用して、信頼 AWS のサービス されたサービスと呼ばれる指定した を有効にし、ユーザーに代わって AWS 組織とそのアカウントでタスクを実行できます。 このためには、信頼されたサービスにアクセス許可を付与する必要がありますが、IAM ユーザーまたはロールのアクセス許可に影響はありません。信頼されたアクセスを使用して、信頼されたサービスがユーザーに代わって AWS 組織のアカウントで維持する設定と設定の詳細を指定できます。例えば、SRA の組織管理アカウントセクションでは、CloudTrail AWS サービスに信頼されたアクセス権を付与して、組織内のすべてのアカウントに AWS CloudTrail 組織の証跡を作成する方法について説明します。

一部の は、 の委任管理者機能 AWS のサービス をサポートしています AWS Organizations。この機能を使用すると、互換性のあるサービスは AWS 、組織内の AWSメンバーアカウントを、そのサービス内の AWS 組織のアカウントの管理者として登録できます。この機能は、企業内のさまざまなチームが、責任に応じて個別のアカウントを使用して環境 AWS のサービス 全体で管理するための柔軟性を提供します。現在委任管理者をサポートしている SRA AWS AWS のセキュリティサービスには、IAM Identity Center、 AWS Config、 AWS Firewall Manager Amazon GuardDuty、IAM Access Analyzer、Amazon Macie、 AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM)、Amazon Detective、 AWS Audit Manager、Amazon Inspector、および が含まれます AWS Systems Manager。ベストプラクティスとして、委任管理者機能の使用が SRA AWS で強調されており、セキュリティ関連サービスの管理を Security Tooling アカウントに委任しています。