すべてのプロダクト
Search
ドキュメントセンター

Resource Management:代理管理者アカウントの管理

最終更新日:Nov 01, 2024

このトピックでは、代理管理者アカウントの定義と制限、および代理管理者アカウントの管理方法について説明します。

代理管理者アカウントについて

リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、信頼済みサービスの代理管理者アカウントに指定できます。 信頼済みサービスの代理管理者アカウントとして指定されたメンバーを使用して、信頼済みサービスのリソースディレクトリの情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 詳細については、「代理管理者アカウントをサポートする信頼済みサービス」をご参照ください。

代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクの実行に使われます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 この方法により、セキュリティ関連の要件を満たすことができます。

制限事項

  • 代理管理者アカウントがサポートされているのは、一部の信頼済みサービスのみです。 詳細については、「サポートされている信頼できるサービス」をご参照ください。

  • 代理管理者アカウントを追加または削除できるのは、リソースディレクトリの管理アカウント、またはその RAM ユーザーや RAM ロールのうち、以下のコードで指定された権限を持つもののみです。

    {
        "Version": "1",
        "Statement": [{
            "Action": [
                "resourcemanager:RegisterDelegatedAdministrator",
                "resourcemanager:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }]
    }

    カスタムポリシーの作成方法の詳細については、「カスタムポリシーの作成」をご参照ください。

  • 代理管理者アカウントは、リソースディレクトリのメンバーにのみなることができます。 リソースディレクトリの管理アカウントを、代理管理者アカウントとして指定することはできません。

  • 信頼済みサービスで許可される代理管理者アカウントの数は、信頼済みサービスによって決まります。

代理管理者アカウントの追加

  1. リソースディレクトリの管理アカウントを使用して、Resource Managementコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[リソースディレクトリ] > [信頼できるサービス] を選択します。

  3. [信頼できるサービス] ページで、委任された管理者アカウントを追加する信頼できるサービスを見つけ、[操作] 列の [管理] をクリックします。

  4. 表示されるページの [委任管理者アカウント] セクションで、[追加] をクリックします。

  5. [委任管理者アカウントの追加] パネルで、メンバーを選択します。

  6. [OK] をクリックします。

    代理管理者アカウントを使用して信頼済みサービスのマルチアカウント管理モジュールにアクセスし、リソースディレクトリ内で管理操作を実行できるようになります。

代理管理者アカウントの削除

警告

代理管理者アカウントを削除すると、関連する信頼済みサービスの利用に影響が発生する可能性があります。 この操作を行う場合はご注意ください。

  1. リソースディレクトリの管理アカウントを使用して、Resource Managementコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[リソースディレクトリ] > [信頼できるサービス] を選択します。

  3. [信頼できるサービス] ページで、委任された管理者アカウントを削除する信頼できるサービスを見つけ、[操作] 列の [管理] をクリックします。

  4. 表示されるページの [委任管理者アカウント] セクションで、削除する委任管理者アカウントを見つけ、[操作] 列の [削除] をクリックします。

  5. [警告] メッセージで、[続行] をクリックします。

    このアカウントでは、リソースディレクトリの情報にアクセスしたり、信頼済みサービスのリソースディレクトリの構造とメンバーを表示したりできなくなります。