AWS 管理/メンバーディスカバリー用の AWS コンソールでの AssumeRole の作成 - Support and Troubleshooting

AWS 管理/メンバーディスカバリー用の AWS コンソールでの AssumeRole の作成 目次 概要 管理アカウントに関するお手続き 管理アカウント ポリシーをアカウントに手動で追加する アカウントが管理アカウントかメンバーアカウントかを確認します ユーザーを作成し、管理アカウントにポリシーを関連付ける ユーザーに権限を設定 リソースで ARN を設定する (ビジュアルエディター) リソース (JSON) で ARN を設定 ユーザーにポリシーを追加 ユーザーのサマリーの確認 メンバーアカウントでの手順 ロールを作成 信頼関係の追加 追加情報 概要 AWS 組織ディスカバリーには、AssumeRole と読み取り専用アクセスに関連付ける AWS 管理アカウントが必要です。この記事では、STS: Assume Role を管理アカウントに追加して関連付け、およびメンバーアカウントとの信頼関係を作成する方法について説明します

管理アカウントに関するお手続き ルート認証情報を使用して AWS コンソールにログインします AWS Organizations の確認 AWS 組織には、少なくとも 1 つの管理アカウントと 1 つのメンバーアカウントが必要です 管理アカウント 「Amazon AWS 組織」が識別するには、管理アカウントに以下のポリシーが添付されている必要があります。

DescribeOrganization DescribeAccount DescribeListAccount 上記のポリシーアクションが AWS アカウント で使用できない場合、アカウントは通常アカウントとして扱われますが、管理アカウントとしては扱われません

ポリシーをアカウントに手動で追加する 管理者として作成するアカウントにログインします AWS サービス >> IAM >>ポリシー>>ポリシーを作成

サービス:「組織」と「アカウント」を選択 リソース:アカウント、ハンドシェイク、OrganizationalUnit、ポリシー、およびそれらを任意にマーク ポリシーをレビュー ポリシー名を指定してポリシーを作成 ポリシーをアカウントに添付します アカウントが管理アカウントかメンバーアカウントかを確認します AWS サービス >> IAM >> 組織アクティビティ ルートにはアカウントのリストがあり、一部は管理としてマークされています ユーザーを作成し、管理アカウントにポリシーを関連付ける AWS サービス >> IAM >>ユーザー >> ユーザーを作成 (既存のユーザーを使用することもできます) ユーザーの作成中に、アクセスタイプで「プログラムによるアクセス」がチェックされる ユーザーに権限を設定 [既存のポリシーを添付] を選択します ポリシーを作成 >> 以下を選択 サービス:STS [STS >> 書き込み>>で、想定ロールを選択します

リソースで ARN を設定する (ビジュアルエディター) リソースを選択:特定 (すべてではない) [ARN を追加] をクリックします の ARN を追加するためのページが開きます アカウント:>>>>「メンバーアカウント ID」を指定します パスが >>>> のロール名 「OrganizationAccountAccessRole」を指定します リソース (JSON) で ARN を設定 { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam:: :role/OrganizationAccountAccessRole" } ] } ユーザーにポリシーを追加 「ReadOnly」と新しく作成したポリシーをユーザーに追加します アドミニストレーターアクセス不要 ユーザーのサマリーの確認 で更新する必要があったユーザー ARN をコピーします

メンバーアカウントでの手順

ロールを作成 IAM >ロール>> AWS サービス 新しいロールを作成 >> [別の AWS アカウント] を選択して、管理アカウント ID を入力します [次へ] をクリックします 「読み取り専用アクセス」であるロールに既存のポリシーを追加します [次へ] をクリックします タグは必須ではありません ロール名を「OrganizationAccountAccessRole」として指定します 送信してロールを作成

信頼関係の追加 IAM >ロール>> AWS サービス 新しく作成された「OrganizationAccountAccessRole」をクリックします [権限] タブに [読み取り専用アクセス] が表示されます [Trusted RelationShip] をクリックして信頼関係を編集>>>>管理 ARN を指定します 管理 ARN は、管理アカウントコンソールの [ユーザーサマリー] ページから利用できます。上記の「ユーザーのサマリーを確認する」セクションを参照してください { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam:: :user/User" }, "Action": "sts:AssumeRole", "Condition": {} } ] } 追加情報

一時的なクラウドディスカバリー認証情報のための AWS ロールの想定 AWS API によるメンバーロールの想定 AWS 組織と一時的な認証情報 ディスカバリー - AWS 組織における想定ロールの拡張