翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# メンバーアカウントのベストプラクティス
<a name="orgs_best-practices_member-acct"></a>

組織内のメンバーアカウントのセキュリティを保護するために、以下の推奨事項に従ってください。これらの推奨事項は、[厳密に必要とするタスクにのみルートユーザーを使用するというベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)を遵守していることを前提としています。

**Topics**
+ [アカウント名と属性を定義する](#bp_member-acct_define-acct)
+ [環境とアカウントの使用量を効率的にスケールする](#bp_member-acct_efficiently-scale)
+ [ルートアクセス管理の有効化による、メンバーアカウントのルートユーザー認証情報の管理の簡素化](#bp_member-acct_root-access-management)

## アカウント名と属性を定義する
<a name="bp_member-acct_define-acct"></a>

メンバーアカウントには、アカウントの使用状況を反映した命名構造とメールアドレスを使用してください。たとえば、`WorkloadsFooADev` に「`Workloads+fooA+dev@domain.com`」、`WorkloadsFooBDev` に「`Workloads+fooB+dev@domain.com`」などです。組織でカスタムタグを定義している場合は、アカウントの使用方法、コストセンター、環境、およびプロジェクトを反映したアカウントにそれらのタグを割り当てることをおすすめします。これにより、アカウントの識別、整理、検索が容易になります。

## 環境とアカウントの使用量を効率的にスケールする
<a name="bp_member-acct_efficiently-scale"></a>

スケールするときは、新しいアカウントを作成する前に、不要な重複を避けるために、同様のニーズのアカウントがまだ存在しないことを確認してください。 AWS アカウント は一般的なアクセス要件に基づいている必要があります。サンドボックスアカウントや同等のアカウントを再利用する予定がある場合は、そのアカウントの不要なリソースやワークロードをクリーンアップし、後で使用できるようにアカウントを保存しておくことをおすすめします。

アカウントを閉鎖する際には、アカウント閉鎖クォータ制限が適用されることに注意してください。詳細については、「[のクォータとサービス制限 AWS Organizations](orgs_reference_limits.md)」を参照してください。可能であれば、アカウントを閉鎖して新しいアカウントを作成するのではなく、クリーンアッププロセスを実行してアカウントを再利用することを検討してください。これにより、リソースを実行することによるコストの発生や [CloseAccount API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html) の上限に達することを回避できます。

## ルートアクセス管理の有効化による、メンバーアカウントのルートユーザー認証情報の管理の簡素化
<a name="bp_member-acct_root-access-management"></a>

メンバーアカウントのルートユーザー認証情報のモニタリングと削除を簡素化するため、ルートアクセス管理を有効にすることをお勧めします。ルートアクセス管理は、ルートユーザー認証情報のリカバリを防ぎ、組織内のアカウントセキュリティを向上させます。
+ ルートユーザーへのサインインを防ぐには、メンバーアカウントのルートユーザー認証情報を削除します。これにより、メンバーアカウントによるルートユーザーのリカバリも防ぐことができます。
+ 特権セッションを引き受けて、メンバーアカウントに対して以下のタスクを実行します。
  + すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されたバケットポリシーを削除します。
  + すべてのプリンシパルによる Amazon SQS キューへのアクセスを拒否する Amazon Simple Queue Service リソースベースのポリシーを削除します。
  + メンバーアカウントにルートユーザー認証情報のリカバリを許可します。メンバーアカウントのルートユーザー E メール 受信トレイにアクセスできるユーザーは、ルートユーザーパスワードをリセットし、メンバーアカウントのルートユーザーにサインインすることができます。

ルートアクセス管理を有効にすることで、新しく作成されるメンバーアカウントはルートユーザー認証情報がないため「セキュアバイデフォルト」となり、プロビジョニング後の MFA などの追加のセキュリティが不要になります。

詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[メンバーアカウントのルートアクセスを一元化する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)」を参照してください。

### SCPを使用し、メンバーアカウントのルートユーザーで行えることを制限する
<a name="bp_member-acct_use-scp"></a>

サービスコントロールポリシー (SCP) を組織内に作成して組織のルートにアタッチし、すべてのメンバーアカウントに適用されるようにすることをお勧めします。詳細については、「[Organizations アカウントのルートユーザー認証情報を保護する](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-organizations)」を参照してください。

メンバーアカウントで実行する必要がある特定のルート限定アクションを除いて、すべてのルートアクションを拒否できます。例えば、次の SCP は、メンバーアカウントのルートユーザーが AWS サービス API コールを実行できないようにします。ただし、「誤って設定された S3 バケットポリシーを更新し、すべてのプリンシパルへのアクセスを拒否する」 (ルート認証情報を必要とするアクションの 1 つ) は除きます。詳細については、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)」を参照してください。

------
#### [ JSON ]

****  

```
{
 "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction":[
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:DeleteBucketPolicy"
                 ],
            "Resource": "*",
            "Condition": {
 "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" }
            }
        }
    ]
 }
```

------

多くの場合、どのような管理タスクも、関連する管理者用アクセス許可を持つメンバーアカウントの AWS Identity and Access Management (IAM) ロールで実行することが可能です。このようなロールには、アクティビティの制限、ログ、モニタリングを行えるよう、適切なコントロールが適用されている必要があります。