翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 複数の AWS アカウントを接続する
<a name="configuring-capabilities-for-aws-devops-agent-connecting-multiple-aws-accounts"></a>

セカンダリ AWS アカウントを使用すると、 AWS DevOps Agent は組織内の複数の AWS アカウントのリソースを調査できます。アプリケーションが複数のアカウントにまたがる場合、セカンダリアカウントを追加すると、エージェントはインシデント調査中にすべての関連リソースを可視化できます。アプリケーションを構成するアカウントとリソースへのアクセスを増やすと、調査の精度が向上します。

## 前提条件
<a name="prerequisites"></a>

セカンダリ AWS アカウントを追加する前に、以下があることを確認してください。
+ プライマリアカウントの AWS DevOps エージェントコンソールへのアクセス
+ セカンダリ AWS アカウントへの管理アクセス
+ セカンダリアカウントでロールを作成する IAM アクセス許可

## セカンダリ AWS アカウントの追加
<a name="adding-a-secondary-aws-account"></a>

以下の手順に加えて、 を使用してセカンダリアカウント[AWS DevOps エージェント CLI オンボーディングガイド](getting-started-with-aws-devops-agent-cli-onboarding-guide.md)をプログラムで追加できます。

### ステップ 1: セカンダリアカウント設定を開始する
<a name="step-1-start-the-secondary-account-configuration"></a>

1.  AWS マネジメントコンソールにサインインし、 AWS DevOps エージェントコンソールに移動します。

1. エージェントスペースを選択する

1. **機能**タブに移動する

1. **クラウド**セクションで、**セカンダリソース**サブセクションを見つけます。

1. **追加**をクリックします。

### ステップ 2: ロール名を指定する
<a name="step-2-specify-the-role-name"></a>

1. **ロールの名前**フィールドに、セカンダリアカウントで作成するロールの名前を入力します。

1. この名前に注意してください。セカンダリアカウントでロールを作成するときに再度使用します。

1. コンソールで提供されている信頼ポリシーをコピーし、スクラッチスペースに保存します。

### ステップ 3: セカンダリアカウントにロールを作成する
<a name="step-3-create-the-role-in-the-secondary-account"></a>

1. 新しいブラウザタブを開き、セカンダリ AWS アカウントの IAM コンソールにサインインします。

1. **IAM >** **ロール** > **ロール**の作成に移動する

1. **カスタム信頼ポリシー**の選択

1. ステップ 2 からコピーした信頼ポリシーを貼り付ける

1. **[次へ]** をクリックします。

### ステップ 4: AWS 管理ポリシーをアタッチする
<a name="step-4-attach-the-aws-managed-policy"></a>

1. アクセス**許可ポリシー**セクションで、**AIDevOpsAgentAccessPolicy** を検索します。

1. **AIDevOpsAgentAccessPolicy** 管理ポリシーの横にあるチェックボックスをオンにします。

1. **[次へ]** をクリックします。

### ステップ 5: ロールに名前を付けて作成する
<a name="step-5-name-and-create-the-role"></a>

1. **ロール名**フィールドに、ステップ 2 で指定したのと同じロール名を入力します。

1. (オプション) ロールの目的を特定するのに役立つ説明を追加します。

1. 信頼ポリシーとアタッチされたアクセス許可を確認する

1. **ロールの作成** をクリックします。

### ステップ 6: インラインポリシーをアタッチする
<a name="step-6-attach-the-inline-policy"></a>

1. IAM コンソールで、作成したロールを見つけて選択します。

1. アクセス**許可**タブに移動する

1. アクセス**許可の追加** > **インラインポリシーの作成** をクリックします。

1. **JSON** タブに切り替える

1. ステップ 2 で保存したポリシーを貼り付ける

1. IAM コンソールの JSON エディタにポリシーを貼り付ける

1. **[次へ]** をクリックします。

1. インラインポリシーの名前を指定します (DevOpsAgentInlinePolicy」など）。

1. **ポリシーの作成** をクリックします。

### ステップ 7: 設定を完了する
<a name="step-7-complete-the-configuration"></a>

1. プライマリアカウントの AWS DevOps エージェントコンソールに戻る

1. **次へ**をクリックしてセカンダリアカウント設定を完了します。

1. 接続ステータスが**アクティブ**と表示されることを確認する

## 必要なポリシーについて
<a name="understanding-the-required-policies"></a>

AWS DevOps Agent では、セカンダリアカウントのリソースにアクセスするために 3 つのポリシーコンポーネントが必要です。
+ **信頼ポリシー** – プライマリアカウントの AWS DevOps エージェントがセカンダリアカウントのロールを引き受けることを許可します。これにより、アカウント間の信頼関係が確立されます。
+ **AIDevOpsAgentAccessPolicy (AWS マネージドポリシー)** – セカンダリアカウントのリソースを調査するために AWS DevOps Agent が必要とするコア読み取り専用アクセス許可を提供します。このポリシーは によって維持 AWS され、新機能が追加されると更新されます。
+ **インラインポリシー** – エージェントスペース設定に固有の追加のアクセス許可を提供します。このポリシーは、エージェントスペースの設定に基づいて生成され、特定の統合または機能のアクセス許可が含まれる場合があります。

プライマリアカウントでは、 AWS DevOps エージェント IAM ロールがセカンダリアカウントで作成されたロールを引き受けることができる必要があります。

## セカンダリアカウントの管理
<a name="managing-secondary-accounts"></a>
+ **接続されたアカウントの表示** – **機能**タブで、**セカンダリソース**サブセクションは接続ステータスを持つすべての接続されたセカンダリアカウントを一覧表示します。
+ **IAM ロールの更新** – アクセス許可を変更する必要がある場合は、セカンダリアカウントのロールにアタッチされているインラインポリシーを更新します。変更は即時適用されます。
+ **セカンダリアカウントの削除** – セカンダリアカウントを切断するには、**セカンダリソース**リストでセカンダリアカウントを選択し、**削除**をクリックします。これにより、セカンダリアカウントの IAM ロールは削除されません。