翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # で招待されたアカウントの OrganizationAccountAccessRole を作成する AWS Organizations デフォルトでは、組織の一部としてメンバーアカウントを作成すると、そのアカウントに AWS が自動的に作成するロールにより、そのロールを引き受けることができる管理アカウントの IAM ユーザーに、管理者用のアクセス許可が付与されます。デフォルトでは、そのロールの名前は `OrganizationAccountAccessRole` です。詳細については、「[を使用して OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)」を参照してください。 しかし、組織に*招待する*メンバーアカウントに、管理者ロールが自動的に作成されることは***ありません***。次の手順に従って、手動で行います。これにより、ロールはコピーされ、作成されたアカウントに自動的に設定されます。一貫性と覚えやすさの点から、手動で作成したロールには、同一の名前 (`OrganizationAccountAccessRole`) を使用されることをお勧めします。 ------ #### [ AWS マネジメントコンソール ] **メンバーアカウントに AWS Organizations 管理者ロールを作成するには** 1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。メンバーアカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 必要があります。使用するユーザーまたはロールには、IAM ロールとポリシーを作成するアクセス許可が必要です。 1. IAM コンソールで、**[ロール]** に移動し、**[ロールの作成]** を選択します。 1. を選択し**AWS アカウント**、**別の AWS アカウント** を選択します。 1. 管理者権限を付与する管理アカウントの 12 桁のアカウント ID 番号を入力します。**[オプション]**で、次の点に注意してください。 + このロールの場合、アカウントは会社内部で使用するため、[**Require external ID**] (外部 ID が必要) は選択**しない**でください。外部 ID オプションの詳細については、「*IAM ユーザーガイド*」の「[外部 ID が適している状況](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html#external-id-use)」を参照してください。 + MFA が有効化され設定されている場合は、オプションで、MFA デバイスを使用した認証を求めるように設定できます。MFA の詳細については、「*IAM ユーザーガイド*」の「[Using multi-factor authentication (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。 1. [**次へ**] を選択します。 1. **[アクセス許可を追加する]** のページで、`AdministratorAccess` という名前の AWS 管理ポリシーを選択し、**[次へ]** を選択します。 1. **[名前、確認、および作成]** ページで、ロール名とオプションの説明オプションを指定します。新しいアカウントのロールに割り当てられたデフォルト名との整合性を保つために、`OrganizationAccountAccessRole` を使用されることをお勧めします。変更をコミットするには、[**ロールの作成**] を選択します。 1. 新しいロールが、使用可能なロールのリストに表示されます。新しいロールの名前を選択して詳細を表示します。その際、表示されるリンクの URL に注意します。ロールへのアクセスが必要なメンバーアカウントのユーザーにこの URL を通知します。また、ステップ 15 で必要になる [**ロール ARN**] も書き留めます。 1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) にサインインします。今回は、ポリシーを作成し、そのポリシーをユーザーまたはグループに割り当てるアクセス許可を持つ管理アカウントのユーザーとしてサインインします。 1. **[ポリシー]** に移動し、**[ポリシーの作成]** を選択します。 1. [**Service**] で、[**STS**] を選択します。 1. [**Actions**] (アクション) で、[**Filter**] (フィルター) ボックスに「**AssumeRole**」と入力し始め、表示されたら、横のチェックボックスをオンにします。 1. **[リソース]** で、**[指定]** が選択されていることを確認して、**[ARN の追加]** を選択します。 1. AWS メンバーアカウント ID 番号を入力し、ステップ 1~8 で以前に作成したロールの名前を入力します。[**ARN を追加**] を選択します。 1. 複数のメンバーアカウントのロールを引き受けるためのアクセス権限を付与する場合は、アカウントごとにステップ 14 と 15 を繰り返します。 1. [**次へ**] を選択します。 1. **[確認と作成]** ページで、新しいポリシーの名前を入力し、**[ポリシーの作成]** を選択し、変更を保存します。 1. ナビゲーションペインで **[ユーザーグループ]** を選択し、メンバーアカウントの管理を委任するグループの名前 (チェックボックスではない) を選択します。 1. **[アクセス許可]** タブを選択します。 1. **[アクセス許可を追加する]** を選択し、**[ポリシーのアタッチ]** を選択し、次に、ステップ 11~18 で作成したポリシーを選択します。 ------ 選択したグループのメンバーであるユーザーは、ステップ 9 で取得した URL より、各メンバーアカウントのロールにアクセスできるようになりました。こうしたメンバーアカウントには、組織内に作成したアカウントにアクセスする場合と同様にアクセスすることができます。メンバーアカウントを管理するロールの使用の詳細については、「[を使用して OrganizationAccountAccessRole を持つメンバーアカウントにアクセスする AWS Organizations](orgs_manage_accounts_access-cross-account-role.md)」を参照してください。