AWS アカウント管理 は、組織 AWS アカウント内のすべてのアカウント情報とメタデータを管理するのに役立ちます。組織の各メンバーアカウントの代替連絡先情報を設定、変更、または削除できます。権限を管理するのではなく、アカウント自体の設定を扱います。
- アカウント名
- 連絡先情報
- 代替連絡先(Billing / Operations / Security)
- ルートユーザーのメールアドレス変更
- 一部のアカウント設定やメタデータ
目次
AWS アカウント管理と AWS Organizations との連携
信頼されたアクセス(Trusted Access)を有効にすることで AWS アカウント管理(AWS Management Account)と AWS Organizations を連携させることができます。有効にすると AWS Organizations が、特定の AWS サービスに対して「組織の情報やメンバーアカウントに組織単位で関わること」を許可できます。
Organizations がサービスリンクロールを使って、信頼されたサービスが組織内のメンバーアカウントで必要な作業を実行できるようになります。
たとえば AWS Account Management で Trusted Access を有効にすると、管理アカウントの管理者は Organizations 内の メンバーアカウントの連絡先情報や代替連絡先 などを中央から変更できるようになります。これは各アカウントに個別ログインしなくても、組織単位でアカウント情報を扱えるようにするためです。
サービスリンクロール(Service-Linked Role)とは
サービスリンクロール(Service-Linked Role)は、特定の AWS サービス専用に結び付けられた特別な IAM ロールです。サービスが利用者の代わりに他の AWS サービスを呼ぶために必要な権限が、あらかじめ定義されています。
通常の IAM ロールは、管理者が信頼ポリシーや権限ポリシーを設計して作りますが、サービスリンクロールはどのサービスが使うか、どんな権限が必要かを AWS サービス側が決めているので、利用者は細かい権限設計をほとんどしなくて済みます。サービスリンクロールの権限自体は編集できません。
サービスリンクロールの目的は、AWS サービスに必要最小限の権限だけを、安全かつ簡単に与えることです。もし毎回ユーザーが手でロールを作る方式だと、権限不足や権限過多が起きやすくなります。サービスリンクロールなら、AWS サービスが必要な権限を最初から定義しているので、セットアップが簡単になります。
コメント