Amazon Web Services ブログ

AWS Organizations のメンバーアカウントを他の組織へ移行する: Part 2

第 1 部 (日本語) では、企業内のある組織から別の組織に AWS アカウントを移行する際、ガイダンスと考慮事項が必要となる Organizations のさまざまな機能を確認しました。組織ポリシー、AWS Resource Access Manager (AWS RAM) による共有、および AWS グローバル条件コンテキストキーに焦点を当てました。

3 部構成の第 2 回となるこの投稿では、AWS サービスに委任された管理者として登録されている AWS アカウントを移行する場合のふるまいを明らかにして、アクションを示します。AWS サービスの委任された管理者を登録解除するとどうなるかを理解し、計画を立てるのに役立つ情報とガイダンスを用意しました。また、AWS サービスの既存の委任された管理者がいる組織に AWS アカウントを移行する場合のガイダンスも提供します。第 1 部と同様に、引き続き組織のユーザーガイドに記載されている情報を基に、組織からメンバーアカウントを削除した上で、AWS アカウントを組織に招待します。組織間で AWS アカウントを移行するには、その AWS アカウントを組織から削除し、AWS アカウントをスタンドアロンにしてから、別の組織への招待を受け入れる必要があります。組織から AWS アカウントを削除する前に、その組織に委任された管理者が登録されているかどうかを確認することをお勧めします。

この記事では、AWS Command Line Interface (AWS CLI) の例を使用しています。これらを利用するには、まず AWS CLI をインストールして設定する必要があります。詳細については、「AWS CLI のインストール」を参照してください。

AWS Organizations の委任された管理者

メンバーアカウントを組織の委任された管理者に指定すると、その AWS アカウントに設定された IAM ユーザーと IAM ロールは、互換性のある AWS サービスの管理アクションを実行できます。これにより、AWS Organizations の管理と AWS サービスの管理を分けることができます。委任された管理者として登録されているメンバーアカウントを組織から移行する場合、その AWS アカウントを委任された管理者から解除した上で組織から削除する必要があります。AWS アカウントを委任された管理者から解除して組織から削除する前に、その AWS アカウントに何が起こるか、考慮すべきアクションを理解しておく必要があります。
組織の委任された管理者を現在サポートしている AWS サービスのリストを次のセクションに含めています。AWS サービス名またはサービスプリンシパル名のいずれかで探すことができます。AWS CLI の list-delegated-services-for-account コマンドを使用して、登録済みの委任された管理者の AWS アカウントを出力することでサービスプリンシパル名を確認できます。一部の AWS サービスでは、委任された管理者が設定されているかどうかを AWS サービスコンソールでも確認できます。
次の AWS CLI の例では、指定された AWS アカウントが委任された管理者となっている AWS サービスを確認します。<account-id> を、 確認したい AWS アカウント ID に置き換えてください。

PROMPT> aws organizations list-delegated-services-for-account --account-id < account-id >

組織内に AWS サービスの委任された管理者である AWS アカウントがあるかどうかを確認するには、AWS CLI list-delegated-administrators コマンドを使用します。次の例では、AWS CLI コマンドを使用して、特定の AWS サービスに割り当てられている委任された管理者の AWS アカウントを特定し、その AWS アカウントが委任された管理者となっているサービスプリンシパルがリストされることを確認します。

  1. 次の AWS CLI の例では、組織内の委任された管理者として指定されているすべての AWS アカウントのリストを取得します。 
    PROMPT> aws organizations list-delegated-administrators
  2. 次の AWS CLI の例では、指定されたアカウントが委任された管理者である AWS サービスを取得します。前のステップで見つかったそれぞれの “Id” 値に <account-id> を置き換え、“DeleatedAdministrators“ のリストを確認するコマンドを繰り返します。 
    PROMPT> aws organizations list-delegated-services-for-account --account-id < account-id >

指定した AWS サービスに委任された管理者が設定されているかどうかを確認するには、AWS CLI の list-delegated-administrator コマンドを使用できます。次の AWS CLI の例では、指定されたサービスプリンシパルの AWS サービスで委任された管理者として指定されているすべての AWS アカウントを取得します。<service-principal> を確認したい AWS サービスのサービスプリンシパル名に置き換えてください。

PROMPT> aws organizations list-delegated-administrators --service-principal < service-principal >

組織の管理アカウントの認証情報と AWS CLI deregister-delegated-administrator コマンドを使用して、互換性のある AWS サービスで委任された管理者である AWS アカウントの登録を解除できます。AWS Audit Manager, Amazon Detective, AWS Firewall Manager, Amazon GuardDuty, Amazon Macie, AWS Security Hub, Amazon VPC IP Address Manager (IPAM) などの一部の AWS サービスには、委任された管理者への AWS アカウントの登録と登録解除のための独自のコマンドまたはコンソールオプションがあります。現時点で委任された管理者をサポートしている AWS サービスのコマンドのバリエーションを詳しく説明します。
次の AWS CLI の例では、引数で指定された AWS サービスにおいて、同じく引数で指定されたメンバーアカウントを委任された管理者から解除します。<account-id> を、委任された管理者から解除したいメンバーアカウントの AWS アカウント ID 番号に置き換えてください。<service-principal> を、この AWS アカウントが委任された管理者となっている AWS サービスのサービスプリンシパル名に置き換えてください。

PROMPT> aws organizations deregister-delegated-administrator --account-id < account-id > --service-principal < service-principal >

AWS Service Catalog, AWS CloudFormation StackSets, AWS Network Manager, Amazon S3 Storage Lens, AWS Trusted Advisor, AWS Config などの特定の AWS サービスにおいては、ケースに合わせて 1 つの組織内に複数の委任された管理者アカウントを持つことができます。この記事の後半で、それぞれのクォータについて詳しく説明します。複数の委任された管理者をサポートする AWS サービスでは上限のアカウント数に至るまでは、現在の委任された管理者の登録を解除することなく、別の AWS アカウントを登録できます。これは、組織を維持する予定があり、現在の委任された管理者を別の組織に移すことを検討している場合のオプションとして使用できます。多数の AWS アカウントを移行する間の作業をサポートするために、または組織を維持する場合には、組織内で別の委任された管理者を構成することを検討してください。組織に残っている AWS アカウント、または最後に移行するもしくは閉じる(削除する)既存の AWS アカウントを選択します。移行中に、委任された管理者設定すべてをこの AWS アカウントに割り当てることができます。
組織の委任された管理者だった AWS アカウントが別の組織に移行されると、その AWS アカウントはメンバーアカウントとして新しい組織に参加します。この AWS アカウントは、互換性のある AWS サービスの委任された管理者として登録されていません。
AWS アカウントを別の組織に移行するときは、新しい組織の委任された管理者と連携するように AWS アカウントを設定する必要があるかどうかを確認する必要があります。多くの AWS サービスでは、新しい組織で委任された管理者と連携する通常の設定を再度行うだけで移行できます。ただしいくつかの AWS サービスでは、委任された管理者アカウントにおいて移行のための特別な設定が必要な場合があります。次のセクションで解説する委任された管理者をサポートしている AWS サービスのリストには、そのようなガイダンスも含まれています。対象組織に AWS サービスの委任された管理者である AWS アカウントがあるかどうかを確認するには、AWS CLI の list-delegated-administrators コマンドを使用できます。組織内に委任された管理者が見つかった場合は、AWS CLI list-delegated-services-for-account コマンドを使用して、どの AWS サービスなのかを確認することができます。この情報を使用して、組織に AWS アカウントを追加するときに必要なアクションを計画できます。

AWS Organizations の委任された管理者をサポートしている AWS サービス

次の AWS サービスのリストは AWS Organizations と連携し、かつ委任された管理者もサポートしています。このセクションには、AWS サービスの委任された管理者として AWS アカウントを登録解除する前に考慮すべきガイダンスと動作が含まれています。また既存の委任された管理者がいる組織に移行したときも、AWS アカウントの設定を確認できます。

AWS Account Management: account.amazonaws.com

AWS Account Management委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーと IAM ロールは AWS Account Management の管理アクションを実行できなくなります。その AWS アカウントは、組織内の他のメンバーアカウントの AWS アカウント管理 API オペレーションを呼び出すことができなくなります。

AWS Audit Manager: auditmanager.amazonaws.com

AWS Audit Manager委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーと IAM ロールは AWS Audit Manager の管理アクションを実行できなくなります。AWS アカウントでそれまでに収集された証拠には、引き続きアクセスができます。ただしその後は AWS Audit Manager は証拠の収集と AWS アカウントへの添付を停止します。委任された管理者の登録を解除するには、その組織の管理アカウントの AWS Audit Manager コンソールまたは AWS CLI の deregister-organization-admin-account コマンドを使用できます。

AWS CloudFormation StackSets: member.org.stacksets.cloudformation.amazonaws.com

AWS CloudFormation StackSets の委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーと IAM ロールは AWS CloudFormation StackSets の管理アクションを実行できなくなります。その AWS アカウントは、サービスマネージド型のアクセス許可でスタックセットを作成または管理することができなくなります。サービスマネージド型のアクセス許可でそれまでに作成されたスタックセットは、組織の管理アカウントに保持されます。AWS CloudFormation StackSets の委任された管理者として、1 つの組織に最大 5 つのメンバーアカウントを登録できます。
AWS アカウントを別の組織に移行する前に、移行先組織に設定されている StackSets のデプロイ対象を確認してください。移行する AWS アカウントに StackSets が適用されるかどうかをデプロイ対象から判断する必要があります。セルフマネージド型の権限を使用して StackSets を設定している場合、ターゲットアカウントまたは管理者アカウントを移行しても影響はありません。このブログシリーズの第 1 部で説明した、管理者アカウントの AWSCloudFormationStackSetAdministrationRole と、ターゲットアカウントの AWSCloudFormationStackSetExecutionRole の条件キーに関連する AWS Identity and Access Management (IAM) ロールポリシーを確認してください。

AWS Compute Optimizer: compute-optimizer.amazonaws.com

AWS Compute Optimizer委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーと IAM ロールは AWS Compute Optimizer の管理アクションを実行できなくなります。その AWS アカウントは、組織内のメンバーアカウントの Compute Optimizer レコメンデーションにアクセスして管理したり、組織の Compute Optimizer 推奨設定を管理できなくなります。

AWS Config: config-multiaccountsetup.amazonaws.com

AWS Config委任された管理者アカウントの登録を解除すると、その AWS アカウントの Config ルールとコンフォーマンスパック、設定された IAM ユーザーおよび IAM ロールは AWS Config の管理アクションを実行できなくなります。この AWS アカウントでは、Config ルールコンフォーマンスパックを組織全体にデプロイおよび管理できなくなります。委任された管理者アカウントによってデプロイされたコンフォーマンスパックと Config ルールは、その AWS アカウントと組織のすべてのメンバーアカウントから自動的に削除されます。AWS Config の Config ルールとコンフォーマンスパックの委任された管理者は、1 つの組織に最大 3 つのメンバーアカウントを登録できます。
AWS アカウントを別の組織に移行する場合、その AWS アカウントが管理アカウントまたは AWS Config ルールとコンフォーマンスパックの既存の委任された管理者と連携できるように、AWS Config 設定レコーダーが有効になっていることを確認する必要があります。設定レコーダーが無効な場合、既存の組織のルールとコンフォーマンスパックのデプロイは、AWS アカウントが組織に追加されてから 7 時間以内に再試行されます。

AWS Config: config.amazonaws.com

AWS Config データ集約の委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは AWS Config の管理アクションを実行できなくなります。その AWS アカウントは組織全体の AWS Config データを集約できなくなり、設定されたアグリゲータはデータを受信しなくなります。AWS Config データ集約の委任された管理者として、1 つの組織に最大 3 つのメンバーアカウントを登録できます。同じ組織の委任された管理者として同じ AWS アカウントを登録した場合、設定されているアグリゲータは引き続きデータを収集します。
AWS アカウントを別の組織に移行する場合、AWS Config アグリゲータを使用している移行先の委任された管理者と連携するために、該当アカウントで AWS Config を有効にしておく必要があります。

Amazon Detective: detective.amazonaws.com

Amazon Detective委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは Amazon Detective の管理アクションを実行できなくなります。Amazon Detective は委任された管理者アカウントでは無効になり、組織の行動グラフはすべて削除されます。
Amazon Detective の委任された管理者を登録解除するには、管理アカウントの Detective のコンソールまたは AWS CLI の disable-organization-admin-account コマンドを使用する必要があります。Detective のコンソールを使用する場合、現在のリージョンの Detective 管理者アカウントのみが削除されるため、リージョンごとに管理者を削除する必要があります。AWS CLI の disable-organization-admin-account コマンドを使用する場合は、組織の管理アカウントの認証情報を使用し、各リージョンの Detective 管理者アカウントを削除する必要があります。コンソールまたは AWS CLI の deregister-delegated-administrator コマンドを使用して、指定された組織の委任された管理者を削除する必要があります。
アカウントを別の組織に移行するときは、Amazon Detective の [アカウント管理] 設定を確認してください。Amazon Detective は、新しい組織の AWS アカウントを Amazon Detective メンバーアカウントとして自動的または手動で有効にするように設定できます。

Amazon DevOps Guru: devops-guru.amazonaws.com

Amazon DevOps Guru委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは Amazon DevOps Guru の管理アクションを実行できなくなります。この AWS アカウントでは、組織全体の DevOps Guru のすべてのインサイトとメトリクスをまとめて表示することはできなくなります。組織の管理アカウントは、引き続き組織内のすべての AWS アカウントのすべてのインサイトにアクセスできます。

AWS Firewall Manager: fms.amazonaws.com

AWS Firewall Manager委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、AWS Firewall Manager の管理アクションを実行できなくなります。AWS Firewall Manager 管理者アカウントによって作成されたすべての Firewall Manager ポリシーは、関連する AWS Config マネージドルールも含めて削除されます。AWS Firewall Manager ポリシーを削除すると、Network FirewallSecurity group (共通)、 AWS WAFポリシーの範囲の設定によって、Firewall Manager が保護を保持または削除するか、 Firewall Manager が管理するリソースを削除するかが決まります。DNS Firewall ポリシーを削除すると、Amazon Route 53 Resolver DNS Firewall ルールグループと任意の Amazon Virtual Private Cloud (VPC) との間のマネージドな関連付けが削除されることに注意してください。
委任された管理者を削除する前に、セキュリティポリシー、アプリケーション、プロトコルリストを含む Firewall Manager の設定を控えておく必要があります。この情報を使用して、別の委任された管理者アカウントにこの設定を引き継ぐことができます。Firewall Manager のセキュリティポリシー、アプリケーション、およびプロトコルを一覧表示するには、組織の管理アカウントの認証情報と AWS CLI の list-policieslist-apps-listslist-protocols-lists コマンドをそれぞれ使用します。
委任された管理者を削除するには、委任された管理者アカウントの Firewall Manager コンソールを使用するか、委任された管理者アカウントの認証情報を使用して、バージニア北部リージョン (us-east-1) で AWS CLI の disassociate-admin-account コマンドを使用します。ある AWS アカウントを組織から削除したときに、その AWS アカウントがまだ委任された管理者として登録されていることがわかった場合は、AWS CLI の deregister-delegated-administrator コマンドを使用できます。ある AWS アカウントを別の組織に移行する場合、その AWS アカウントが既存の AWS Firewall Manager ポリシーに関するスコープポリシーに含まれているか、(必要に応じて) 除外されているかを確認してください。

Amazon GuardDuty: guardduty.amazonaws.com

Amazon GuardDuty委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、Amazon GuardDuty の管理アクションを実行できなくなります。委任された管理者アカウントの登録を解除しても、その AWS アカウントまたは組織のメンバーアカウントの GuardDuty は無効になりません。組織内の AWS アカウントは関連付けを解除され、すべての設定が保持されたまま GuardDuty がスタンドアロンで動作する AWS アカウントに変換されます。

Amazon GuardDuty の委任された管理者を登録解除するには、管理アカウントの GuardDuty コンソールまたは AWS CLI の disable-organization-admin-account コマンドを使用する必要があります。Amazon GuardDuty コンソールを使用する場合、GuardDuty の管理者設定はすべてのリージョンで無効化され、組織で指定されている GuardDuty の委任された管理者設定は削除されます。AWS CLI の deregister-delegated-administrator コマンドを使用する場合は、各リージョンの GuardDuty の管理者設定を無効化してから、このコマンドを使用して組織で指定された委任された管理者設定を削除する必要があります。
ある AWS アカウントを別の組織に移行した際、組織単位で Amazon GuardDuty を有効にしたリージョンでは、自動的に GuardDuty メンバーアカウントとして関連付けられます。GuardDuty が組織単位で有効でなく AWS アカウントが関連付けられていない場合は、委任された管理者アカウントの GuardDuty コンソールを使用してその AWS アカウントを手動でメンバーアカウントとして追加できます。

IAM Access Analyzer: access-analyzer.amazonaws.com

IAM Access Analyzer委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、IAM Access Analyzer の管理アクションを実行できなくなります。この AWS アカウントは、委任された管理者アカウントとして作成した、信頼ゾーンが組織であるすべてのアナライザーに対する権限を失います。構成済みのアナライザーはすべて無効な状態になり、新しい検出結果の生成や既存の検出結果の更新は行われなくなります。これらのアナライザーにおける既存の検出結果にもアクセスできなくなります。ただし、同じ AWS アカウントをこの組織の委任された管理者として再度登録することで、再びそれらの検出結果にアクセスできるようになります。委任された管理者と同じ AWS アカウントを使用しないことがわかっている場合は、委任された管理者を変更する前にアナライザーを削除することを検討してください。これにより、生成された検出結果がすべて削除されます。別の AWS アカウントを委任された管理者として登録し、新しいアナライザーを作成すると、同じ検出結果の新しいインスタンスがこの AWS アカウントで生成されます。ある AWS アカウントを別の組織に移行するときに、信頼ゾーンが組織であるアナライザーがすでに作成されている場合、移行した AWS アカウントは自動的に分析対象のセットに含まれます。

AWS IAM Identity Center (successor to AWS Single Sign-On): sso.amazonaws.com

AWS IAM Identity Center委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、AWS IAM Identity Center の管理アクションを実行できなくなります。AWS IAM Identity Center で設定された権限や割り当ては影響を受けず、エンドユーザーは引き続き AWS アクセスポータルからアプリケーションと AWS アカウントにアクセスできます。

Amazon Inspector: inspector2.amazonaws.com

Amazon Inspector委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、Amazon Inspector の管理アクションを実行できなくなります。その AWS アカウントは組織を対象にした Amazon Inspector を監視することができなくなり、Amazon Elastic Compute Cloud (Amazon EC2)Amazon Elastic Container Registry (Amazon ECR) の設定データやセキュリティ検出の結果など、関連付けされた組織のメンバーアカウントのメタデータにアクセスできなくなります。委任された管理者を登録解除しても、その AWS アカウントまたは組織のメンバーアカウントの Inspector は無効になりません。組織の AWS アカウントは関連付けを解除され、スキャン設定を保持したまま Inspector がスタンドアロンで動作する AWS アカウントに変換されます。
組織の管理アカウントの Amazon Inspector コンソールを使用して委任された管理者を削除する場合、すべてのリージョンから委任された管理者を削除する必要があります。AWS CLI の deregister-delegated-administrator コマンドを使用すると、委任された管理者がすべてのリージョンから自動的に削除されます。同じ組織の Inspector に別の委任された管理者を設定する場合は、組織のメンバーを委任された管理者アカウントに手動で関連付ける必要があります。
ある AWS アカウントを別の組織に移行すると、「自動的に有効化」が設定されたリージョンでは、その AWS アカウントは自動的に委任された管理者と Inspector に関して関連付けられます。移行した AWS アカウントが関連付けられていない場合は、委任された管理者アカウントの Inspector コンソールを使用して、手動でメンバーアカウントとして追加できます。

AWS License Manager: license-manager.amazonaws.com: license-manager.member-account.amazonaws.com

AWS License Manager委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、AWS License Manager の管理アクションを実行できなくなります。AWS RAM を使用して AWS License Manager のライセンス設定を AWS アカウントと直接共有するのか、組織と連携して共有するのかを確認する必要があります。このブログシリーズの第 1 部では、所有者アカウントとコンシューマーアカウントの両方について、AWS RAM リソースの共有と組織間を移行する際の考慮事項について説明しています。

Amazon Macie: macie.amazonaws.com

Amazon Macie委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、Amazon Macie の管理アクションを実行できなくなります。この AWS アカウントは、すべての AWS リージョンのすべての Macie におけるメンバーアカウントの Macie 設定、データ、およびリソースにアクセスできなくなります。委任された管理者アカウントの登録を解除しても、その AWS アカウントまたは組織のメンバーアカウントの Macie は無効になりません。組織のメンバーアカウントは関連付けを解除され、すべての設定が保持されたまま Macie がスタンドアロンで動作する AWS アカウントに変換されます。
Amazon Macie の委任された管理者を登録解除するには、組織の管理アカウントの認証情報を使用して、AWS CLI の disable-organization-admin-account コマンドを実行する必要があります。Macie 管理者が設定されたリージョンでその設定を削除し、次に AWS CLI の deregister-delegated-administrator コマンドを使用して組織で指定された委任された管理者を削除する必要があります。
ある AWS アカウントを別の組織に移行する場合、自動有効化が設定されたリージョンでは、AWS アカウントは Macie に関して自動的に委任された管理者と関連付けられます。AWS アカウントが関連付けられていない場合は、委任された管理者アカウントの Macie コンソールを使用して手動でメンバーアカウントとして追加できます。

AWS Network Manager: networkmanager.amazonaws.com

AWS Network Manager委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、Network Manager の管理アクションを実行できなくなります。登録されている他のメンバーアカウントのトランジットゲートウェイは、その AWS アカウントのグローバルネットワークから登録解除されます。ネットワークトポロジが更新され、他のメンバーアカウントのリソースが表示されなくなります。Network Manager の委任された管理者として、組織毎に最大 10 個のメンバーアカウントを登録できます。

AWS Security Hub: securityhub.amazonaws.com

AWS Security Hub委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、Security Hub の管理アクションを実行できなくなります。委任された管理者を登録解除しても、その AWS アカウントまたは組織のメンバーアカウントの Security Hub は無効になりません。組織のメンバーアカウントは関連付けを解除され、すべての設定が保持されたまま Security Hub がスタンドアロンで動作する AWS アカウントに変換されます。
AWS Security Hub の委任された管理者を登録解除するには、管理アカウントの Security Hub コンソールまたは AWS CLI の disable-organization-admin-account コマンドを使用する必要があります。Security Hub コンソールを使用する場合、Security Hub 管理者はすべてのリージョンで削除され、組織で指定されている Security Hub の委任された管理者は削除されます。AWS CLI の disable-organization-admin-account コマンドを使用する場合は、組織の管理アカウントの認証情報を使用し、各リージョンの Security Hub 管理者を削除する必要があります。完了したら、AWS CLI の deregister-delegated-administrator コマンドを使用して、組織に指定されている委任された管理者を削除します。
ある AWS アカウントを別の組織に移行する場合、自動有効化をオンにしたリージョンでは、その AWS アカウントは自動的に Security Hub の委任された管理者と関連付けられます。AWS アカウントが関連付けられていない場合は、委任された管理者アカウントの Security Hub コンソールを使用して手動でメンバーアカウントとして追加できます。

Amazon S3 Storage Lens: storage-lens.s3.amazonaws.com

Amazon Simple Storage Service (Amazon S3) Storage Lens委任された管理者アカウントの登録を解除すると、その AWS アカウントに設定された IAM ユーザーおよび IAM ロールは、Amazon S3 Storage Lens の管理アクションを実行したり、組織レベルのダッシュボードを作成することができなくなります。委任された管理者によって作成された Amazon S3 Storage Lens 組織レベルのダッシュボードは、自動的に無効になります。登録解除された AWS アカウントは、データがクエリに使用できるそれぞれの期間に応じて、無効になっているダッシュボードの履歴データを引き続き表示できます。Amazon S3 Storage Lens の委任された管理者として、1 つの組織に組織に最大 5 つのメンバーアカウントを登録できます。

AWS Service Catalog: servicecatalog.amazonaws.com

AWS Service Catalog委任された管理者アカウントの登録を解除すると、 IAM ユーザーおよび IAM ロールは、AWS Service Catalog の管理アクションを実行できなくなります。さらに、ポートフォリオを作成、削除、共有する権限がなくなります。この AWS アカウントから作成された AWS Service Catalog ポートフォリオの共有は削除されます。
委任された管理者アカウントによって共有されているポートフォリオから製品をプロビジョニングした AWS アカウントが組織内に 1 つ以上残っている場合は、同じ組織に別の委任された管理者アカウントを設定することで、すべての共有製品を移行できます。また、AWS Service Catalog の委任された管理者として、1 つの組織に最大 50 個のメンバーアカウントを登録できます。組織の管理アカウントに共有ポートフォリオがある場合は、そのポートフォリオを委任された管理者アカウントに移行することを強くお勧めします。
共有製品を同じ組織の AWS Service Catalog の委任された管理者アカウントに移行するには、下記の手順を実施します:

  1. 移行元の委任された管理者アカウントの AWS Service Catalog 共有ポートフォリオにプロビジョニング済みの製品が含まれているかどうかを確認します。製品が見つかった場合は、委任された管理者として登録されている別の AWS アカウントのポートフォリオに製品を移行できます。ポートフォリオを共有しているアカウント ID をすべて書き留めておきます。
  2. AWS Service Catalog における別の委任された管理者アカウントを登録します。この AWS アカウントは、全てのプロビジョニング済み製品のポートフォリオの管理に使用されます。
  3. 元の製品と同じテンプレートを使用して、移行先の委任された管理者アカウントに新しいポートフォリオを作成します。これにより、プロビジョニング済み製品のリソースが終了したり再作成されたりすることがなくなります。
  4. ステップ 3 で作成したポートフォリオを、ステップ 1 で特定した AWS アカウントに共有してインポートします。これらは、ポートフォリオから作られたプロビジョニング済み製品を持つ AWS アカウントです。
  5. ポートフォリオを共有している各 AWS アカウントで、移行先の委任された管理者アカウントにおける共有された、プロビジョニング済み製品を選択の上で更新して製品を変更します。“Changing the product will update this provisioned product to a different product template. This may terminate resources and create new resources.(製品を変更すると、このプロビジョニング済み製品が別の製品テンプレートに更新されます。これにより、リソースが終了し、新しいリソースが作成される可能性があります。)“ というメッセージが表示されます。元の製品と同じテンプレートを使用してポートフォリオを作成した場合は、このメッセージは無視してかまいません。
  6. 移行元の委任された管理者アカウントからすべてのポートフォリオと関連付けられた製品を移行したら、移行元の委任された管理者アカウントのポートフォリオから元の共有を削除できます。移行元の委任された管理者アカウントは登録解除できます。
  7. [オプション] 委任された管理者アカウントの登録を解除しても、委任された管理者が作成したポートフォリオと共有が削除されない場合は、委任された管理者をもう一度登録した上で登録解除します。この 2 番目のアクションにより、この AWS アカウント用に作成されたポートフォリオと共有が削除されます。

プロビジョニング済み製品の AWS アカウントを AWS Service Catalog の共有ポートフォリオから別の組織に移行する場合、その製品を移行先組織のポートフォリオに関連付けることができます。移行先組織における AWS Service Catalog の委任された管理者として登録されたアカウントでポートフォリオと製品を再作成し、その組織内で共有できます。対象の AWS アカウントを移行先組織に参加させて、プロビジョニング済み製品を移行先組織内で共有されている製品に更新できます。このアプローチは、組織を削除する予定で、別の組織に移行しても共有ポートフォリオを維持したい場合に使用できます。
共有製品を別の組織の委任された管理者アカウントに移行するには、下記の手順を実施します:

  1. 移行元の委任された管理者アカウントの AWS Service Catalog 共有ポートフォリオにプロビジョニング済みの製品が含まれているかどうかを確認します。製品が見つかったら、そのポートフォリオを共有している AWS アカウント ID をすべて書き留めておきます。
  2. 「AWS 組織アカウント」または「AWS アカウント」のいずれかを使用するようにポートフォリオ共有を更新し、上記の移行先組織に移行する AWS アカウントの AWS アカウント ID を指定します。これにより組織から AWS アカウントを削除しても、製品はその AWS アカウントに残ります。
  3. コンシューマーアカウントで、共有ポートフォリオが表示されていない場合は、それをインポートして、製品に対して必要なプリンシパルの権限を更新します。
  4. 移行先組織で AWS Service Catalog に関する委任された管理者の AWS アカウントを登録します。この AWS アカウントは、全てのプロビジョニング済み製品のポートフォリオの管理に使用されます。
  5. 移行元の製品と同じテンプレートを使用して、移行先の委任された管理者アカウントに新しいポートフォリオを作成します。これにより、プロビジョニング済み製品のリソースが終了したり再作成されたりすることがなくなります。移行元の共有ポートフォリオにおけるプロビジョニング済み製品を保持している移行中 AWS アカウントのために、新しいポートフォリオを元の組織または移行先組織と共有します。
  6. 移行元組織からポートフォリオコンシューマーアカウントを削除すると、共有ポートフォリオと製品が表示され、プロビジョニング済み製品は変更されずに残っていることがわかります。
  7. 移行先組織にコンシューマーアカウントを追加する際、共有ポートフォリオが表示されていない場合はそれをインポートし、製品に対して必要なプリンシパルの権限を更新します。
  8. ポートフォリオを共有している各 AWS アカウントで、プロビジョニング済み製品を選択し、新しい委任された管理者アカウントから共有した製品に更新します。プロビジョニング済み製品を、移行元組織で共有されていた元の製品から、移行先組織で作成した同じ製品に変更します。“Changing the product will update this provisioned product to a different product template. This may terminate resources and create new resources. (製品を変更すると、このプロビジョニング済み製品が別の製品テンプレートに更新されます。これにより、リソースが終了し、新しいリソースが作成される可能性があります。)“ というメッセージが表示されます。元の製品と同じテンプレートを使用してポートフォリオを作成した場合は、このメッセージは無視してかまいません。
  9. 移行元組織の委任された管理者アカウントで、過去に作成した AWS アカウント共有を削除します。これにより、ポートフォリオと製品がコンシューマーアカウントから削除され、新たに共有されたポートフォリオと、新しい所有者のプロビジョニング済み製品のみが残ります。
  10. [オプション] 移行元組織の委任された管理者アカウントが別の組織に移行する場合、移行元の委任された管理者アカウントからすべてのポートフォリオと関連付けられた製品を移行したら、この AWS アカウントを委任された管理者として登録解除できます。
  11. [オプション] 委任された管理者アカウントの登録を解除しても、委任された管理者が作成したポートフォリオと共有が削除されない場合は、委任された管理者をもう一度登録した上で登録解除します。このアクションにより、この AWS アカウント用に作成されたポートフォリオと共有が削除されます。

AWS Systems Manager: ssm.amazonaws.com

AWS Systems Manager委任された管理者アカウントの登録を解除すると、AWS Systems Manager Explorer と Change Manager の両方に影響します。AWS アカウントで設定された IAM ユーザーおよび IAM ロールは、AWS Systems Manager Explorer または Change Manager の管理アクションを実行できなくなります。この AWS アカウントは、組織のリソースデータ同期の API オペレーションにアクセスできなくなります。AWS Systems Manager Explorer は、委任された管理者の組織のリソースデータ同期とそれに含まれるデータをすべて削除します。このアクションを実施すると、元に戻すことはできなくなります。この AWS アカウントでは、変更テンプレート、変更リクエスト、変更ランブック、承認ワークフローの管理など、組織全体の Change Manager アクティビティを管理できなくなります。委任された管理者アカウントで作成された、複数の組織単位 (OU) に変更を適用する Change Manager リクエストはすべて残ります。ただし、これらは正常に実行されません。これには、スケジュールされたリクエストや承認待ちのリクエストも含まれます。

AWS Trusted Advisor: reporting.trustedadvisor.amazonaws.com

AWS Trusted Advisor委任された管理者アカウントの登録を解除すると、その AWS アカウントで設定された IAM ユーザーおよび IAM ロールは、AWS Trusted Advisor の管理アクションを実行できなくなります。その AWS アカウントは、Trusted Advisor Priority のレコメンデーションを確認、承認、解決、拒否、および再開できなくなります。さらに、Trusted Advisor Priority からのメール通知は届かなくなります。AWS Trusted Advisor の委任された管理者として、組織に最大 5 つのメンバーアカウントを登録できます。

Amazon VPC IP Address Manager (IPAM): ipam.amazonaws.com

Amazon VPC IP Address Manager (IPAM)委任された管理者アカウントの登録を解除すると、その AWS アカウントで設定された IAM ユーザーおよび IAM ロールは、IPAM の管理アクションを実行できなくなります。この AWS アカウントでは、組織内の IP アドレス割り当てを管理および監視できなくなり、組織のメンバーアカウント間で IPAM プールを共有することもできなくなります。委任された管理者を削除するには、組織の管理アカウントの IPAM コンソールまたは AWS CLI の disable-ipam-organization-admin-account コマンドを使用できます。
AWS アカウントの登録を解除したときに、AWS RAM を使用して IPAM プールを組織で共有している場合、リソース共有は保持されます。ただし、メンバーアカウントは共有 IPAM にアクセスできなくなります。このような共有 IPAM プールを使用しようとすると、“The operation AllocateIpamPoolCidr is not supported. Account <account-id> is not monitored by IPAM ipam-<ipam-id>.(AllocateIPamPoolCIDR 操作はサポートされていません。<account-id> は IPAM <ipam-id> によって監視されていません。)”という例外処理が表示されます。AWS アカウントが組織を離れると、IPAM プールのリソース共有内の組織のプリンシパルはすべて自動的に共有から切り離されます。
IPAM の委任された管理者として登録されていて、かつ組織の共有 IPAM プールを持つ AWS アカウントを別の組織に移行する場合は、同じ IPAM プール構成を別の AWS アカウントに設定できます。現在の委任された管理者の登録を解除したら、代替の IPAM を設定した AWS アカウントを委任された管理者として登録し、組織で共有します。組織に残っている AWS アカウント、または以前に共有された IPAM プールから CIDR ブロックが割り当てられた Amazon VPC を持つ AWS アカウントは、新しく設定された IPAM プールに引き継がれます。
IPAM の委任された管理者として登録されている AWS アカウントを移行する場合、AWS アカウントを移行した後でも、移行先組織の AWS アカウントで保持されている IPAM を使用できます。IPAM を維持して使用する計画がある場合は、移行元組織に残る AWS アカウントのリソースに対する CIDR ブロックの割り当ての解除を検討する必要があります。そうしなければ、CIDR ブロックは引き続き割り当て済みとしてマークされます。移行先組織に移行しない AWS アカウントのリソースに割り当て済みとマークされた CIDR ブロックは、移行先組織の委任された管理者による管理対象ではなくなります。移行先組織で IPAM を使用するには、その AWS アカウントを IPAM の委任された管理者として登録する必要があります。その AWS アカウントでは、移行先組織のプリンシパルを関連付けるように、AWS RAM リソース共有を変更する必要があります。IPAM から CIDR ブロックが割り当てられた Amazon VPC を持つ同じ組織に移行した AWS アカウントが追跡されます。移行先組織にすでに IPAM の委任された管理者がいる場合は、その組織に移行する AWS アカウントのリソースに割り当てるための CIDR ブロックを使用する新規または既存の IPAM を構成できます。

まとめ

このブログでは、委任の機能と互換性のある AWS サービスに関して、組織の中で委任された管理者を特定し、そのような AWS アカウントを移行する場合の動作とアクションを特定するための解説をしました。組織の委任された管理者として登録されている AWS アカウントは、組織を削除する前に登録を解除する必要があることを学びました。またある AWS アカウントが、いずれかの AWS サービスの委任された管理者であるかどうかを判断する方法と、AWS アカウントを委任された管理者から解除するときに想定される動作と実行するアクションについても学びました。
このブログシリーズでは、AWS Organizations のさまざまな機能を順を追って説明し、AWS Organizations を使用する場合や、AWS アカウントをある組織から別の組織に移行する際のガイダンスと注意を解説しています。
シリーズの第 1 部 (日本語) では、AWS Organizations のさまざまな機能について説明し、AWS Organizations を使用して AWS アカウントをある組織から別の組織に移行する場合のガイダンスと注意を解説しました。第 3 部では、組織内で「信頼されたアクセス」が設定された AWS サービスを特定し、AWS アカウントを移行する前のアクションと動作を解説します。

ブログ著者について:

Karl Schween

Karl Schween は、Amazon Web Services の Principal Solutions Architect です。彼は、お客様がビジネス上の問題に対処できるような、拡張性が高く柔軟で回復力のあるクラウドアーキテクチャを構築できるよう支援しています。

Deepa Pahuja

Deepa Pahuja は、Amazon Web Services の Senior Solutions Architect です。Deepa は、お客様と協力して、クラウドネイティブサービスを使用してビジネス上の問題を解決するアーキテクチャを構築することを楽しんでいます。仕事以外では、Deepa は新しい場所の探検、ハイキング、ダンスを楽しんでいます。

翻訳はプロフェッショナルサービス本部の須田が担当しました。原文はこちらです。