翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# API 操作モードについて
<a name="manage-acct-api-modes-of-operation"></a>

 AWS アカウントの属性を操作する API オペレーションは、常に 2 つのオペレーションモードのいずれかで機能します。
+ **スタンドアロンコンテキスト** — このモードは、アカウント内のユーザーまたはロールが***同じアカウント***内のアカウント属性にアクセスする、またはそのアカウント属性を変更する場合に使用されます。スタンドアロンコンテキストモードは、アカウント管理 AWS CLI または AWS SDK オペレーションのいずれかを呼び出すときに `AccountId`パラメータを含め***ない場合***に自動的に使用されます。
+ **組織コンテキスト** — このモードは、組織内の 1 つのアカウントのユーザーまたはロールが、同じ組織内の別のメンバーアカウントのアカウント属性にアクセスする、またはそのアカウント属性を変更する場合に使用されます。アカウント管理 AWS CLI または AWS SDK オペレーションのいずれかを呼び出すときに `AccountId`パラメータ******を含めると、組織コンテキストモードが自動的に使用されます。このモードでは、組織の管理アカウント、またはアカウント管理の委任管理者アカウントのみから操作を呼び出すことができます。

 AWS CLI および AWS SDK オペレーションは、スタンドアロンまたは組織のコンテキストで機能します。
+  `AccountId` パラメータを***含めない***場合、操作はスタンドアロンコンテキストで実行され、リクエスト作成に使用したアカウントにリクエストが自動的に適用されます。これは、アカウントが組織のメンバーであるかどうかにはかかわりません。
+ `AccountId` パラメータを含めた場合は、操作は組織コンテキストで実行され、指定した組織アカウントで動作します。
  + 操作を呼び出すアカウントが、アカウント管理サービスの管理アカウントまたは委任管理者アカウントである場合、`AccountId` パラメータにその組織の任意のメンバーアカウントを指定して、指定したアカウントを更新することができます。
  + 代替連絡先に関する操作のいずれかを呼び出して、`AccountId` パラメータに自身のアカウント番号を指定できる組織内のアカウントは、アカウント管理サービス用の[委任管理者アカウント](using-orgs-delegated-admin.md)として指定されたアカウントのみです。管理アカウントを含むその他のアカウントは、`AccessDenied` 例外を受信します。
+ スタンドアロンモードで操作を実行する場合、すべてのリソースを許可する `"*"`、または[スタンドアロンアカウント用の構文を使う ARN](#account-arn-standalone) のどちらかの `Resource` 要素を含む IAM ポリシーで、操作の実行が許可されている必要があります。
+ 組織モードで操作を実行する場合、すべてのリソースを許可する `Resource` のいずれかの `"*"` 要素を含む IAM ポリシー、または[組織内のメンバーアカウント用の構文に従った ARN](#account-arn-organizations) で、操作の実行が許可されている必要があります。

## アカウント属性を更新するアクセス許可の付与
<a name="manage-acct-update-contact-perms"></a>

ほとんどの AWS オペレーションと同様に、IAM アクセス許可ポリシー AWS アカウント を使用して、 のアカウント属性を追加、更新、または削除するためのアクセス許可を付与します。 [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)IAM アクセス許可ポリシーを IAM プリンシパル (ユーザーまたはロール) にアタッチすると、そのプリンシパルがどのリソースに対して、どのような条件で、どのアクションを実行できるかを指定することができます。

以下は、アクセス許可ポリシーを作成する際のアカウント管理特有の考慮事項です。

### の Amazon リソースネーム形式 AWS アカウント
<a name="manage-acct-update-contact-perms-arn-format"></a>
+ ポリシーステートメントの `resource`要素に含める AWS アカウント ことができる の [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) は、参照するアカウントがスタンドアロンアカウントであるか、組織内のアカウントであるかに基づいて構築されます。「[API 操作モードについて](#manage-acct-api-modes-of-operation)」に関する前のセクションを参照してください。
  + <a name="account-arn-standalone"></a>スタンドアロンアカウントのアカウント ARN:

    ```
    arn:aws:account::{{{AccountId}}}:account
    ```

    `AccountID` パラメータを含めないことによってスタンドアロンモードでアカウント属性のオペレーションを実行する場合は、この形式を使用する必要があります。
  + <a name="account-arn-organizations"></a>組織内のメンバーアカウントのアカウント ARN:

    ```
    arn:aws:account::{{{ManagementAccountId}}}:account/o-{{{OrganizationId}}}/{{{AccountId}}}
    ```

    `AccountID` パラメータを含めることによって組織モードでアカウント属性のオペレーションを実行する場合は、この形式を使用する必要があります。

### IAM ポリシーのコンテキストキー
<a name="manage-acct-update-contact-perms-context-keys"></a>

アカウント管理サービスには、付与するアクセス許可をきめ細かく制御するための[アカウント管理サービス固有の条件キー](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys)もいくつか用意されています。

#### `account:AccountResourceOrgPaths`
<a name="context-keys-AccountResourceOrgPaths"></a>

コンテキストキー `account:AccountResourceOrgPaths` を使用すると、組織の階層から特定の組織単位 (OU) へのパスを指定できます。その OU に含まれるメンバーアカウントのみが条件に一致します。次の例のスニペットは、指定された 2 つの OU のいずれかに所属するアカウントにのみポリシーを適用するように制限しています。

`account:AccountResourceOrgPaths` は複数値を持つ文字列型のため、[`ForAnyValue` または `ForAllValues` 複数値文字列演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)を使用する必要があります。また、組織内の OUs へのパスを参照している場合でも`account`、条件キーのプレフィックスは であることに注意してください。

```
"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgPaths": [
            "{{o-aa111bb222}}/{{r-a1b2}}/{{ou-a1b2-f6g7h111}}/*", 
            "{{o-aa111bb222}}/{{r-a1b2}}/{{ou-a1b2-f6g7h222}}/*"
        ]
    }
}
```

#### `account:AccountResourceOrgTags`
<a name="context-keys-AccountResourceOrgTags"></a>

コンテキストキー `account:AccountResourceOrgTags` を使用すると、組織内のアカウントにアタッチできるタグを参照できます。タグはキーと値の文字列のペアで、アカウント内のリソースを分類し、ラベル付けするために使用できます。詳細については、*AWS Resource Groups ユーザーガイド*の「[タグエディタの使用](https://docs.aws.amazon.com/ARG/latest/userguide/tag-editor.html)」を参照してください。属性ベースのアクセス制御戦略の一環としてタグを使用する方法については、「*IAM ユーザーガイド*」の「[AWSの ABAC とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。次の例のスニペットは、`project` キー、および `blue` または `red` のいずれかの値を含むタグを持つ組織内のアカウントにのみポリシーを適用するように制限しています

`account:AccountResourceOrgTags` は複数値を持つ文字列型のため、[`ForAnyValue` または `ForAllValues` 複数値文字列演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html#reference_policies_multi-key-or-value-conditions)を使用する必要があります。また、組織のメンバーアカウントのタグを参照している場合でも`account`、条件キーのプレフィックスは であることに注意してください。

```
"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgTags/project": [
            "blue", 
            "red"
        ]
    }
}
```

**注記**  
タグは、組織内のアカウントにのみアタッチすることができます。スタンドアロンにタグをアタッチすることはできません AWS アカウント。