このトピックでは、代理管理者アカウントの定義と制限、および代理管理者アカウントの管理方法について説明します。
代理管理者アカウントについて
リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、信頼済みサービスの代理管理者アカウントに指定できます。 信頼済みサービスの代理管理者アカウントとして指定されたメンバーを使用して、信頼済みサービスのリソースディレクトリの情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 詳細については、「代理管理者アカウントをサポートする信頼済みサービス」をご参照ください。
代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクの実行に使われます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 この方法により、セキュリティ関連の要件を満たすことができます。
制限事項
代理管理者アカウントがサポートされているのは、一部の信頼済みサービスのみです。 詳細については、「サポートされている信頼できるサービス」をご参照ください。
代理管理者アカウントを追加または削除できるのは、リソースディレクトリの管理アカウント、またはその RAM ユーザーや RAM ロールのうち、以下のコードで指定された権限を持つもののみです。
{ "Version": "1", "Statement": [{ "Action": [ "resourcemanager:RegisterDelegatedAdministrator", "resourcemanager:DeregisterDelegatedAdministrator" ], "Resource": "*", "Effect": "Allow" }] }
カスタムポリシーの作成方法の詳細については、「カスタムポリシーの作成」をご参照ください。
代理管理者アカウントは、リソースディレクトリのメンバーにのみなることができます。 リソースディレクトリの管理アカウントを、代理管理者アカウントとして指定することはできません。
信頼済みサービスで許可される代理管理者アカウントの数は、信頼済みサービスによって決まります。
代理管理者アカウントの追加
リソースディレクトリの管理アカウントを使用して、Resource Managementコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[信頼できるサービス] ページで、委任された管理者アカウントを追加する信頼できるサービスを見つけ、[操作] 列の [管理] をクリックします。
表示されるページの [委任管理者アカウント] セクションで、[追加] をクリックします。
[委任管理者アカウントの追加] パネルで、メンバーを選択します。
[OK] をクリックします。
代理管理者アカウントを使用して信頼済みサービスのマルチアカウント管理モジュールにアクセスし、リソースディレクトリ内で管理操作を実行できるようになります。
代理管理者アカウントの削除
代理管理者アカウントを削除すると、関連する信頼済みサービスの利用に影響が発生する可能性があります。 この操作を行う場合はご注意ください。
リソースディレクトリの管理アカウントを使用して、Resource Managementコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[信頼できるサービス] ページで、委任された管理者アカウントを削除する信頼できるサービスを見つけ、[操作] 列の [管理] をクリックします。
表示されるページの [委任管理者アカウント] セクションで、削除する委任管理者アカウントを見つけ、[操作] 列の [削除] をクリックします。
[警告] メッセージで、[続行] をクリックします。
このアカウントでは、リソースディレクトリの情報にアクセスしたり、信頼済みサービスのリソースディレクトリの構造とメンバーを表示したりできなくなります。