翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # を使用して組織のメンバーアカウントにアクセスする AWS Organizations 組織でアカウントを作成すると、ルートユーザーに加えて、`OrganizationAccountAccessRole` というデフォルト名の IAM ロールがAWS Organizations によって自動的に作成されます。作成時に別の名前を指定できますが、すべてのアカウントで一貫して名前を付けることをお勧めします。 AWS Organizations は他のユーザーやロールを作成しません。 組織のアカウントにアクセスするには、次のいずれかの方法を使用する必要があります。 **最小アクセス許可** 組織内の他のアカウント AWS アカウント から にアクセスするには、次のアクセス許可が必要です。 `sts:AssumeRole` - `Resource` 要素は、アスタリスク (\*) に設定するか、新しいメンバーアカウントにアクセスする必要のあるユーザーが含まれるアカウントのアカウント ID 番号に設定する必要があります。 ------ #### [ Using the root user (Not recommended for everyday tasks) ] 組織に新しいメンバーアカウントを作成した時点では、アカウントにはデフォルトでルートユーザー認証情報がありません。メンバーアカウントは、アカウントリカバリが有効になっていない限り、ルートユーザーにサインインしたり、ルートユーザーのパスワードリカバリを実行したりすることはできません。 [メンバーアカウントのルートアクセスを一元化](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html)することで、組織の既存のメンバーアカウントからルートユーザー認証情報を削除できます。ルートユーザー認証情報を削除すると、ルートユーザーのパスワード、アクセスキー、署名証明書が削除され、多要素認証 (MFA) が非アクティブ化されます。これらのメンバーアカウントはルートユーザー認証情報を持っておらず、ルートユーザーとしてサインインできず、ルートユーザーのパスワードをリカバリできません。Organizations で作成した新しいアカウントには、デフォルトでルートユーザー認証情報はありません。 ルートユーザー認証情報がないメンバーアカウントに対してルートユーザー認証情報を必要とするタスクを実行する必要がある場合は、管理者に問い合わせてください。 ルートユーザーとしてメンバーアカウントにアクセスする場合は、パスワード復旧プロセスを行う必要があります。詳細については、「*AWS サインインユーザーガイド*」の「[AWS アカウントアカウント のルートユーザーパスワードを忘れてしまった](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html#troubleshoot-forgot-root-password)」を参照してください。 ルートユーザーを使用してメンバーアカウントにアクセスする必要がある場合は、次のベストプラクティスに従ってください。 + ルートユーザーは、アクセス許可を制限した他のユーザーやロールの作成にのみ使用し、それ以外のアカウントへのアクセスには使用しないでください。復旧プロセスが完了したら、ユーザーまたはロールでサインインします。 + [ルートユーザーの多要素認証 (MFA) を有効にする](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html#ru-bp-mfa)。パスワードをリセットし、[root ユーザーに MFA デバイスを割り当てることができます](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)。 ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「*IAM ユーザーガイド*」の「[ルートユーザー資格情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。ルートユーザーのセキュリティに関するその他の推奨事項については、「*IAM ユーザーガイド*」の「[AWS アカウントのルートユーザーのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)」を参照してください。 ------ #### [ Using trusted access for IAM Identity Center ] で IAM Identity Center の信頼されたアクセスを使用[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)および有効にします AWS Organizations。これにより、ユーザーは会社の認証情報を使用して AWS アクセスポータルにサインインし、割り当てられた管理アカウントまたはメンバーアカウントのリソースにアクセスできます。 詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[マルチアカウント権限](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html)」を参照してください。IAM Identity Center への信頼されたアクセス設定については、「[AWS IAM アイデンティティセンター および AWS Organizations](services-that-can-integrate-sso.md)」を参照してください。 ------ #### [ Using the IAM role OrganizationAccountAccessRole ] の一部として提供されるツールを使用してアカウントを作成する場合 AWS Organizations、この方法で作成するすべての新しいアカウントに存在する `OrganizationAccountAccessRole` という名前の事前設定されたロールを使用してアカウントにアクセスできます。詳細については、「[を使用して OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)」を参照してください。 既存のアカウントを組織に招待し、そのアカウントによって招待が承諾されると、招待されたメンバーアカウントへのアクセスを管理アカウントに許可する IAM ロールを作成できるようになります。このロールは、 AWS Organizationsで作成されたアカウントに自動的に追加されるロールと同一であることを意図しています。 このロールの作成については、「[で招待されたアカウントの OrganizationAccountAccessRole を作成する AWS Organizations](orgs_manage_accounts_create-cross-account-role.md)」を参照してください。 ロールの作成が完了したら、「[を使用して OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)」のステップを使用してアクセスできます。 ------ **Topics** + [IAM アクセスロールを作成する](orgs_manage_accounts_create-cross-account-role.md) + [IAM アクセスロールの使用](orgs_manage_accounts_access-cross-account-role.md)