AWS 管理/メンバー検出のための AWS コンソールでの AssumeRole の作成 目次 概要管理アカウントの手順管理アカウントポリシーをアカウントに手動で追加するアカウントが管理アカウントかメンバーアカウントかを確認しますユーザーを作成して管理アカウントにポリシーを関連付けるユーザーへの権限の設定リソースでの ARN の設定 (ビジュアルエディター)リソース (JSON) での ARN の設定ポリシーをユーザーに追加ユーザーのサマリーの確認会員口座での手続きロールの作成信頼関係を追加追加情報 概要 AWS Organization Discovery には、AWS 管理アカウントを AssumeRole と読み取り専用アクセスに関連付ける必要があります。この記事では、STS: Assume Role の作成と管理アカウントへの関連付け、およびメンバーアカウントとの信頼関係の作成について説明します。 管理アカウントの手順 ルート認証情報を使用した AWS コンソールへのログインAWS Organizations の確認AWS 組織には、少なくとも 1 つの管理アカウントと 1 つのメンバーアカウントが必要です 管理アカウント 管理アカウントには、「Amazon AWS 組織」が識別できるように、以下のポリシーが添付されている必要があります。 DescribeOrganizationDescribeAccountDescribeListAccount 上記のポリシーアクションが AWS アカウントで利用できない場合、アカウントは通常のアカウントとして扱われますが、管理アカウントとしては扱われません ポリシーをアカウントに手動で追加する 管理者にしたいアカウントにログインしますAWS のサービス >> IAM >> ポリシー >> ポリシーの作成 サービス:「組織」と「アカウント」を選択しますリソース: Account、Handshake、OrganizationalUnit、Policy (任意) ポリシーをレビューポリシー名を指定してポリシーを作成しますポリシーをアカウントに添付します アカウントが管理アカウントかメンバーアカウントかを確認します AWS サービス >> IAM >>組織アクティビティルートにはアカウントのリストがあり、一部は管理としてマークされています ユーザーを作成して管理アカウントにポリシーを関連付ける AWS Services >> IAM >> Users >> Create User (既存のユーザーを使用することもできます)ユーザーの作成時に、アクセスタイプで「プログラムによるアクセス」を確認します ユーザーへの権限の設定 「既存のポリシーを添付」を選択しますポリシーの作成>>以下から選択しますサービス:STS[STS >> Write] >>で [Assume Role] を選択します。 リソースでの ARN の設定 (ビジュアルエディター) リソースの選択:特定 (すべてではない)「ARN を追加」をクリックしますの ARN を追加するためのページが開きますアカウント:>>>>「メンバーアカウントID」を入力しますパス付きのロール名: >>>> 「OrganizationAccountAccessRole」を指定します リソース (JSON) での ARN の設定 { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<Member Account ID>:role/OrganizationAccountAccessRole" } ] } ポリシーをユーザーに追加 「ReadOnly」と新しく作成したポリシーをユーザーに追加します管理者アクセス権は不要 ユーザーのサマリーの確認 更新する必要のあるユーザーARNをコピーします 会員口座での手続き ロールの作成 AWS のサービス >> IAM >ロール新しいロールを作成し>> [別の AWS アカウント] を選択して、管理アカウント ID を指定します「次へ」をクリックします「読み取り専用アクセス」であるロールに既存のポリシーを追加「次へ」をクリックしますタグは必須ではありませんロール名を「OrganizationAccountAccessRole」として指定します[送信] をクリックしてロールを作成します。 信頼関係を追加 AWS のサービス >> IAM >ロール新しく作成した「OrganizationAccountAccessRole」をクリックします。[権限]タブに「読み取り専用アクセス」と表示されます[Trusted RelationShip] をクリックして>>信頼関係を編集し>>管理 ARN を指定します管理 ARN は、管理アカウントコンソールの [User Summary] ページで確認できます。上記の「Verify the Summary of the User」セクションを参照してください { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<Management Account ID>:user/User" }, "Action": "sts:AssumeRole", "Condition": {} } ] } 追加情報 一時的なクラウドディスカバリー認証情報のための AWS ロールの想定AWS API によるメンバーロールの想定AWS 組織と一時的な認証情報ディスカバリー - AWS 組織における想定ロールの拡張