翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Control Tower の IAM Identity Center グループ AWS Control Tower では、アカウントで特定のタスクを実行するユーザーを編成するために事前設定されたグループを利用できます。ユーザーを追加して、IAM Identity Center で直接これらのグループに割り当てることができます。これにより、アカウント内では許可セットがグループのユーザーに一致します。グループの設定に関する最新のガイダンスとベストプラクティスについては、「*IAM Identity Center ユーザーガイド*」の「[ベストプラクティス](https://docs.aws.amazon.com//singlesignon/latest/userguide/delegated-admin.html#delegated-admin-best-practices)」を参照してください。 ランディングゾーンをセットアップすると、以下のグループが作成されます。 **AWSAccountFactory** | アカウント | 許可セット | 説明 | | --- | --- | --- | | 管理アカウント | AWSServiceCatalogEndUserAccess | このグループは、Account Factory を使用して新しいアカウントをプロビジョニングするためにこのアカウントでのみ使用されます。 | **AWSServiceCatalogAdmins** | アカウント | 許可セット | 説明 | | --- | --- | --- | | 管理アカウント | AWSServiceCatalogAdminFullAccess | このグループは、Account Factory で管理者権限を変更するためにこのアカウントでのみ使用されます。このグループのユーザーは、AWSAccountFactory グループにも含まれていない限り新しいアカウントをプロビジョニングできません。 | **AWSControlTowerAdmins** | アカウント | 許可セット | 説明 | | --- | --- | --- | | 管理アカウント | AWSAdministratorAccess | AWS Control Tower コンソールにアクセスできるのは、このアカウントのこのグループのユーザーのみです。 | | ログアーカイブアカウント | AWSAdministratorAccess | ユーザーは、このアカウントで管理者アクセスが与えられます。 | | 監査アカウント | AWSAdministratorAccess | ユーザーは、このアカウントで管理者アクセスが与えられます。 | | メンバーアカウント | AWSOrganizationsFullAccess | ユーザーは、このアカウントで Organizations へのフルアクセスが与えられます。 | **AWSSecurityAuditPowerUsers** | アカウント | 許可セット | 説明 | | --- | --- | --- | | 管理アカウント | AWSPowerUserAccess | ユーザーはアプリケーション開発タスクを実行し、 AWS アプリケーション開発をサポートするリソースとサービスを作成および設定できます。 | | ログアーカイブアカウント | AWSPowerUserAccess | ユーザーはアプリケーション開発タスクを実行し、 AWS アプリケーション開発をサポートするリソースとサービスを作成および設定できます。 | | 監査アカウント | AWSPowerUserAccess | ユーザーはアプリケーション開発タスクを実行し、 AWS アプリケーション開発をサポートするリソースとサービスを作成および設定できます。 | | メンバーアカウント | AWSPowerUserAccess | ユーザーはアプリケーション開発タスクを実行し、 AWS アプリケーション開発をサポートするリソースとサービスを作成および設定できます。 | **AWSSecurityAuditors** | アカウント | 許可セット | 説明 | | --- | --- | --- | | 管理アカウント | AWSReadOnlyAccess | ユーザーは、このアカウントのすべての AWS サービスとリソースに読み取り専用でアクセスできます。 | | ログアーカイブアカウント | AWSReadOnlyAccess | ユーザーは、このアカウントのすべての AWS サービスとリソースに読み取り専用でアクセスできます。 | | 監査アカウント | AWSReadOnlyAccess | ユーザーは、このアカウントのすべての AWS サービスとリソースに読み取り専用でアクセスできます。 | | メンバーアカウント | AWSReadOnlyAccess | ユーザーは、このアカウントのすべての AWS サービスとリソースに読み取り専用でアクセスできます。 | **AWSLogArchiveAdmins** | アカウント | 許可セット | 説明 | | --- | --- | --- | | ログアーカイブアカウント | AWSAdministratorAccess | ユーザーは、このアカウントで管理者アクセスが与えられます。 | **AWSLogArchiveViewers** | アカウント | 許可セット | 説明 | | --- | --- | --- | | ログアーカイブアカウント | AWSReadOnlyAccess | ユーザーは、このアカウントのすべての AWS サービスとリソースに読み取り専用でアクセスできます。 | **AWSAuditAccountAdmins** | アカウント | 許可セット | 説明 | | --- | --- | --- | | 監査アカウント | AWSAdministratorAccess | ユーザーは、このアカウントで管理者アクセスが与えられます。 |