このトピックでは、代理管理者アカウントの定義と制限、および代理管理者アカウントの管理方法について説明します。

代理管理者アカウントについて

リソースディレクトリの管理アカウントを使用して、リソースディレクトリ内のメンバーを、信頼済みサービスの代理管理者アカウントに指定できます。 信頼済みサービスの代理管理者アカウントとして指定されたメンバーを使用して、信頼済みサービスのリソースディレクトリの情報にアクセスできます。 この情報には、リソースディレクトリの構造とメンバーが含まれます。 このメンバーは、リソースディレクトリ内のビジネスの管理にも使用できます。 詳細については、「代理管理者アカウントをサポートする信頼済みサービス」をご参照ください。

代理管理者アカウントを使用することで、組織の管理タスクとビジネスの管理タスクを分離できます。 リソースディレクトリの管理アカウントは、リソースディレクトリの組織管理タスクの実行に使われます。 代理管理者アカウントは、関連する信頼されたサービスのビジネス管理タスクの実行に使用されます。 この方法により、セキュリティ関連の要件を満たすことができます。

制限事項

  • 代理管理者アカウントがサポートされているのは、一部の信頼済みサービスのみです。 詳細については、「サポートされている信頼済みサービス」をご参照ください。
  • 代理管理者アカウントを追加または削除できるのは、リソースディレクトリの管理アカウント、またはその RAM ユーザーや RAM ロールのうち、以下のコードで指定された権限を持つもののみです。 
    {
    "Version": "1",
    "Statement": [{
        "Action": [
            "resourcemanager:RegisterDelegatedAdministrator",
            "resourcemanager:DeregisterDelegatedAdministrator"
        ],
        "Resource": "*",
        "Effect": "Allow"
    }]
}

    カスタムポリシーの作成方法については、「カスタマイズポリシーの作成」をご参照ください。

  • 代理管理者アカウントは、リソースディレクトリのメンバーにのみなることができます。 リソースディレクトリの管理アカウントを、代理管理者アカウントとして指定することはできません。
  • 信頼済みサービスで許可される代理管理者アカウントの数は、信頼済みサービスによって決まります。

代理管理者アカウントの追加

  1. リソースディレクトリの管理アカウントを使用して、Resource Management コンソールにログインします。
  2. 左側のナビゲーションペインで、[リソースディレクトリ] > [信頼済みサービス] を選択します。
  3. [信頼済みサービス] ページで、代理管理者アカウントを追加する信頼済みサービスを確認し、[操作] 列の [管理] をクリックします。
  4. 表示されるページの [代理管理者アカウント] セクションで、[追加] をクリックします。
  5. [代理管理者アカウントの追加] パネルで、メンバーを選択します。
  6. [OK] をクリックします。
    代理管理者アカウントを使用して信頼済みサービスのマルチアカウント管理モジュールにアクセスし、リソースディレクトリ内で管理操作を実行できるようになります。

代理管理者アカウントの削除

重要 代理管理者アカウントを削除すると、関連する信頼済みサービスの利用に影響が発生する可能性があります。 この操作を行う場合はご注意ください。
  1. リソースディレクトリの管理アカウントを使用して、Resource Management コンソールにログインします。
  2. 左側のナビゲーションペインで、[リソースディレクトリ] > [信頼済みサービス] を選択します。
  3. [信頼済みサービス] ページで、代理管理者アカウントを削除する信頼済みサービスを確認し、[操作] 列の [管理] をクリックします。
  4. 表示されたページの [代理管理者アカウント] セクションで削除する代理管理者アカウントを確認し、[操作] 列の [削除] をクリックします。
  5. [警告] メッセージで、[続行] をクリックします。
    このアカウントでは、リソースディレクトリの情報にアクセスしたり、信頼済みサービスのリソースディレクトリの構造とメンバーを表示したりできなくなります。