Explorer のための委任された管理者の設定
AWS Organizations とのリソースデータの同期を使用して、複数の AWS リージョン とアカウントから AWS Systems Manager Explorer データを集約する場合は、Explorer の委任管理者を設定することをお勧めします。委任管理者は、次の方法で Explorer のセキュリティを強化します。
-
マルチアカウントおよびリージョンの、リソースデータでの同期を作成または削除する権限を持つ Explorer 管理者の数は、1 つの AWS アカウント のみに制限します。
-
Explorer でリソースデータ同期を管理するために、AWS Organizations 管理アカウントにログインする必要がなくなりました。
代理管理者は、以下のコンソール、SDK、AWS Command Line Interface (AWS CLI) または AWS Tools for Windows PowerShell を使用して次の Explorer リソースデータ同期 API を使用できます。
委任管理者は、コンソールから、または SDK、AWS CLI、AWS Tools for Windows PowerShell などのプログラムツールを使用して、Explorer データを検索、フィルタ、および集計できます。検索、フィルタリング、およびデータ集約では、GetOpsSummary API オペレーションを使用します。
委任管理者は、組織全体または組織単位のサブセットに対してリソースデータの同期を最大 5 つ作成できます。委任管理者によって作成されたリソースデータ同期は、委任管理者アカウントでのみ使用できます。AWS Organizations 管理アカウントで同期や集計データを表示することはできません。
注記
委任管理者アカウントを使用して、オプトイン AWS リージョンでリソースデータ同期を作成することはできません。AWS Organizations 管理アカウントを使用する必要があります。
リソースデータ同期の詳細については、「複数のアカウントおよびリージョンのデータを表示するように Systems Manager Explorer を設定する」を参照してください。AWS Organizations の詳細については、AWS Organizations ユーザーガイドのAWS Organizations とはを参照してください。
[開始する前に]
次のリストには、Explorer の委任管理に関する重要な情報が含まれています。
-
Explorer の管理のために委任できるアカウントは 1 つだけです。
-
Explorer 委任管理者として指定するアカウント ID は、AWS Organizations でメンバーアカウントとしてリストされている必要があります。詳細については、AWS Organizations ユーザーガイドの組織での AWS アカウント の作成を参照してください。
-
委任管理者は、コンソールですべての Explorer リソースデータ同期 API オペレーションを使用でき、これには SDK、AWS Command Line Interface (AWS CLI)、または AWS Tools for Windows PowerShell などのプログラムツールを使用することもできます。リソースデータ同期 API オペレーションには、CreateResourceDataSync、DeleteResourceDataSync、ListResourceDataSync、および UpdateResourceDataSync があります。
-
委任管理者は、コンソールで、または SDK、AWS CLI、AWS Tools for Windows PowerShell などのプログラムツールを使用して、Explorer データを検索、フィルタ、および集計できます。検索、フィルタリング、およびデータ集約では、GetOpsSummary API オペレーションを使用します。
-
委任管理者によって作成されたリソースデータ同期は、委任管理者アカウントでのみ使用できます。AWS Organizations 管理アカウントで同期や集計データを表示することはできません。
-
委任管理者は、リソースデータの同期を最大 5 つまで作成できます。
-
委任管理者は、AWS Organizations 内の組織全体または組織単位のサブセットに対してリソースデータの同期を作成できます。
