翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Network Manager と AWS Organizations
<a name="services-that-can-integrate-network-manager"></a>

Network Manager を使用すると、 AWS アカウント、 AWS リージョン、オンプレミスロケーション間で AWS Cloud WAN コアネットワークと Transit Gateway ネットワークを一元管理できます。マルチアカウントサポートを使用すると、任意の AWS アカウントに対して単一のグローバルネットワークを作成し、Network Manager コンソールを使用して複数のアカウントからグローバルネットワークにトランジットゲートウェイを登録できます。

Network Manager と Organizations 間の信頼されたアクセスを有効にすると、登録された委任管理者と管理アカウントは、メンバーアカウントに展開されたサービスリンクの役割を利用して、グローバルネットワークに接続されたリソースを説明できます。Network Manager コンソールから、登録された委任管理者と管理アカウントは、メンバーアカウントに展開されたカスタム IAM ロール `CloudWatch-CrossAccountSharingRole` (マルチアカウントの監視とイベント、およびマルチアアクウントリソースの表示と管理のための `IAMRoleForAWSNetworkManagerCrossAccountResourceAccess`コンソールスイッチのロールアクセス) を引き受けることができます。

**重要**  
Network Manager コンソールを使用してマルチアカウント設定 (信頼されたアクセスの有効化/無効化、委任された管理者の登録/解除)を管理することを強くお勧めします。コンソールからこれらの設定を管理すると、マルチアカウント・アクセスに必要なメンバーアカウントに、必要なすべてのサービスにリンクされたロールとカスタム IAM ロールが自動的に配備され、管理されます。
 Network Manager コンソールで Network Manager の信頼されたアクセスを有効にすると、コンソールは CloudFormation StackSets サービスも有効にします。ネットワーク・マネージャーは StackSets を使用して、マルチアカウント管理に必要なカスタム IAM ロールを配備にします。

Network Manager とOrganizations の統合の詳細については、「*Amazon VPC ユーザーガイド*」の「[AWS Organizationsのネットワークマネージャで複数のアカウントを管理する](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html)」を参照してください。

 AWS Network Manager を と統合するには、次の情報を使用します AWS Organizations。



## 統合を有効にする際に作成されるサービスにリンクされたロール
<a name="integrate-enable-slr-network-manager"></a>

信頼されたアクセスを有効にすると、リストされた組織アカウントに以下のような[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)が自動的に作成されます。これらのロールにより、Nettwork Managerは組織のアカウント内でサポートされている操作を実行できます。信頼されたアクセスを無効にした場合、Network Manager は組織内のアカウントからこれらのロールを削除しません。IAM コンソールを使用して手動で削除できます。

管理アカウント
+  `AWSServiceRoleForNetworkManager`
+ `AWSServiceRoleForCloudFormationStackSetsOrgAdmin`
+  `AWSServiceRoleForCloudWatchCrossAccount`

メンバーアカウント
+  `AWSServiceRoleForNetworkManager`
+ ` AWSServiceRoleForCloudFormationStackSetsOrgMember`

メンバーアカウントを委任された管理者として登録すると、委任された管理者アカウントに次の追加ロールが自動的に作成されます。
+  `AWSServiceRoleForCloudWatchCrossAccount`

## サービスにリンクされたロールで使用されるサービスプリンシパル
<a name="integrate-enable-svcprin-network-manager"></a>

サービスにリンクされたロールは、そのロールに定義された信頼関係によって承認されたサービスプリンシパルのみが担うことができる。
+ `AWSServiceRoleForNetworkManager service-linked` ロールの場合、`networkmanager.amazonaws.com` はアクセス権を持つ唯一のサービスプリンシパルです。
+ `AWSServiceRoleForCloudFormationStackSetsOrgMember` サービスにリンクされたロール `member.org.stacksets.cloudformation.amazonaws.com` の場合、アクセス権を持つ唯一のサービスプリンシパルです。
+ `AWSServiceRoleForCloudFormationStackSetsOrgAdmin` サービスにリンクされたロール `stacksets.cloudformation.amazonaws.com` の場合、アクセス権を持つ唯一のサービスプリンシパルです。
+ `AWSServiceRoleForCloudWatchCrossAccount` サービスにリンクされたロール `cloudwatch-crossaccount.amazonaws.com` の場合、アクセス権を持つ唯一のサービスプリンシパルです。

 これらのロールを削除すると、ネットワーク・マネージャのマルチ・アカウント機能が損なわれます。

## ネットワーク・マネージャーで信頼されたアクセスの有効化
<a name="integrate-enable-ta-network-manager"></a>

信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。

Organizations 管理アカウントの管理者のみが、別の AWS サービスで信頼されたアクセスを有効にするアクセス許可を持っています。権限の問題を回避するために、ネットワーク・マネージャ*コンソール*を必ず使用して、信頼されたアクセスを有効にします。詳細については、「*Amazon VPC ユーザーガイド*」の「[Manage multiple accounts in Network Manager with AWS Organizations](https://docs.aws.amazon.com/vpc/latest/tgwnm/tgw-nm-multi.html)」を参照してください。

## Network Manager との信頼されたアクセスの無効化
<a name="integrate-disable-ta-network-manager"></a>

信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。

Organizations 管理アカウントの管理者のみが、別の AWS サービスでの信頼されたアクセスを無効にするアクセス許可を持っています。

**重要**  
信頼されたアクセスを無効にするには、Network Manager コンソールを使用することを強くお勧めします。API や CloudFormation コンソールの使用など AWS CLI、他の方法で信頼されたアクセスを無効にすると、デプロイされた CloudFormation StackSets とカスタム IAM ロールが適切にクリーンアップされない可能性があります。信頼されたサービスのアクセスを無効にするには、[Network Manager コンソール](https://console.aws.amazon.com/vpc/home#networkmanager)にサイン・インします。

## Network Manager 用の委任管理者アカウントの有効化
<a name="integrate-enable-da-network-manager"></a>

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 Network Manager の管理アクションを実行できるようになります。それ以外の場合は、この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、Network Manager の管理を組織の管理から分離するのに有効です。

メンバーアカウントを組織の StackSets の「[委任管理者として指定する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)」手順については、「*Amazon VPC ユーザーガイド*」の委任された管理者の登録を参照してください。