このトピックでは、デリゲートされた管理者アカウント、その制限、および基本操作について説明します。
デリゲートされた管理者アカウントとは
リソースディレクトリの管理アカウントは、メンバーを信頼できるサービスのデリゲートされた管理者アカウントとして指定できます。管理アカウントは、デリゲートされた管理者アカウントに、その信頼できるサービス内のリソースディレクトリの組織およびメンバー情報へのアクセスを承認します。このアカウントは、組織内のビジネス運用を管理することもできます。詳細については、「デリゲートされた管理者アカウントをサポートする信頼できるサービス」をご参照ください。
デリゲートされた管理者アカウントは、組織管理タスクをビジネス管理タスクから分離します。管理アカウントは、リソースディレクトリの組織管理タスクを実行します。デリゲートされた管理者アカウントは、信頼できるサービスのビジネス管理タスクを実行します。これは、セキュリティのベストプラクティスに沿っています。
制限事項
一部の信頼できるサービスのみが、デリゲートされた管理者アカウントをサポートしています。詳細については、「サポートされている信頼できるサービス」をご参照ください。
リソースディレクトリの管理アカウント、または管理アカウントに関連付けられ、次の権限を持つ Resource Access Management (RAM) ユーザーまたは RAM ロールのみが、デリゲートされた管理者アカウントを追加または削除できます。
{ "Version": "1", "Statement": [{ "Action": [ "resourcemanager:RegisterDelegatedAdministrator", "resourcemanager:DeregisterDelegatedAdministrator" ], "Resource": "*", "Effect": "Allow" }] }カスタムポリシーの作成方法の詳細については、「カスタム権限ポリシーの作成」をご参照ください。
デリゲートされた管理者アカウントは、リソースディレクトリのメンバーである必要があります。管理アカウントにすることはできません。
追加できるデリゲートされた管理者アカウントの数は、各信頼できるサービスによって定義されます。
デリゲートされた管理者アカウントの追加
管理アカウントを使用して Resource Management コンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[信頼できるサービス] ページで、管理する信頼できるサービスを見つけ、[アクション] 列の [管理] をクリックします。
[デリゲートされた管理者アカウント] セクションで、[追加] をクリックします。
[デリゲートされた管理者アカウントの追加] パネルで、メンバーを選択します。
[OK] をクリックします。
アカウントが追加されると、それを使用して信頼できるサービスのマルチアカウント管理モジュールにアクセスし、組織内で管理操作を実行できます。
デリゲートされた管理者アカウントの削除
デリゲートされた管理者アカウントを削除すると、信頼できるサービスの運用に支障をきたす可能性があります。注意して進めてください。
管理アカウントを使用して Resource Management コンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[信頼できるサービス] ページで、管理する信頼できるサービスを見つけ、[アクション] 列の [管理] をクリックします。
[デリゲートされた管理者アカウント] セクションで、削除するアカウントを見つけ、[アクション] 列の [削除] をクリックします。
[デリゲートされた管理者の削除] ダイアログボックスで、[OK] をクリックします。
アカウントが削除されると、信頼できるサービス内のリソースディレクトリの組織およびメンバー情報にアクセスできなくなります。