LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@aws-training

【AWS SAP】OrganizationAccountAccessRoleとは

Last updated at Posted at 2024-12-29

AWS OrganizationAccountAccessRoleとは

OrganizationAccountAccessRole は、AWS Organizationsで作成されるデフォルトのIAMロールで、管理アカウントからメンバーアカウントにアクセスできるようにするために使用されます。このロールは、AWS Organizationsを使用して新しいアカウントを作成する際に自動的に設定されます。

以下は、OrganizationAccountAccessRoleに関する重要なポイントです。

1. ロールの概要

  • 用途
    管理アカウントのユーザーがメンバーアカウントにアクセスできるようにする
  • 作成タイミング
    AWS Organizationsを通じて新しいアカウントを作成した場合、自動的に作成される
  • 権限
    このロールは、管理アカウントからアカウント間での操作を実行するために必要なアクセス権限を付与する

2. デフォルトの設定

  • ロール名
    OrganizationAccountAccessRole
  • 信頼ポリシー
    管理アカウントの「ルート」アカウントを信頼する設定が含まれている

信頼ポリシーの例:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<ManagementAccountID>:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
  • アタッチされるポリシー
    権限ポリシーは利用シナリオに応じてカスタマイズ可能だが、初期設定では広義なアクセス権限が付与される

3. 利用シナリオ

以下のような状況で利用されます:

  • アカウント間の管理作業
    管理アカウントの管理者がメンバーアカウントにサインインして設定を確認したり変更したりする
  • サービスコントロールポリシー (SCP) の適用や確認
    メンバーアカウントに適用されたSCPの影響範囲を確認するためにログイン
  • リソースのトラブルシューティング
    メンバーアカウントでリソースの問題を証明

4. OrganizationAccountAccessRoleのアクセス方法

管理アカウントからメンバーアカウントにアクセスする手順:

  1. 管理アカウントにログイン
  2. AWS Management Consoleで「AWS Organizations」に移動
  3. メンバーアカウントを選択し、「アカウントに切り替え」をクリック
  4. 指定されたIAMロールで「OrganizationAccountAccessRole」を選択

CLIを使用する場合:

aws sts assume-role \
    --role-arn "arn:aws:iam::<MemberAccountID>:role/OrganizationAccountAccessRole" \
    --role-session-name "SessionName"

5. 注意点

  • メンバーアカウントのロール削除
    デフォルトロールを削除すると、管理アカウントからアクセスできなくなるため注意が必要
  • ロール名のカスタマイズ
    デフォルト名を変更することは可能だが、変更後は手動でアクセス方法を調整する必要がある
  • SCPの制約
    SCPによってOrganizationAccountAccessRoleの権限が制限される場合がある

6. よくある質問

Q: OrganizationAccountAccessRoleを削除した場合、再作成する方法はありますか?
A: 手動でIAMロールを作成し、信頼ポリシーを管理アカウントに設定すれば再作成可能です。

Q: 管理アカウントからすべてのメンバーアカウントに同時アクセスできますか?
A: できません。STSを使用して1アカウントずつアクセスする必要があります。

類似のロール

ロール名 アタッチ先 詳細
OrganizationAccountAccessRole 子アカウント AWS Organizationsの管理アカウントが引き受けて使用。子アカウントに自動的に作成される。
AWSServiceRoleForOrganizations AWSサービス AWS ConfigやAWS SSOなど特定のサービスが使用。サービスがリソースにアクセスする際に必要。
AWSControlTowerExecution AWS Control Tower Control TowerがLanding Zoneを管理する際に使用。新しいアカウント作成やガードレール適用時。
CrossAccountRole 任意のアカウント(トラスト設定に応じる) 他のAWSアカウントまたはAWSサービスが引き受けて使用。トラストポリシーにアクセス元を設定。
AWSManagedServicesRole AWS Managed Services(AMS) AMSが顧客のリソースを管理する際に使用。顧客アカウント内で自動的に作成される。

まとめ

OrganizationAccountAccessRole は、AWS Organizationsでアカウント管理を効率化するための重要な仕組みです。メンバーアカウントの管理やトラブルシューティングを行う際に役立つため、適切な理解と管理が求められます。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?