翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Resource Explorer および AWS Organizations

AWS Resource Explorer はリソースの検索および検出サービスです。Resource Explorer では、インターネット検索エンジンのようなエクスペリエンスを使用して、Amazon Elastic Compute Cloud インスタンス、Amazon Kinesis Data Streams、または Amazon DynamoDB テーブルなどのリソースを調べることができます。リソースは、名前、タグ、および ID などのリソースメタデータを使用して検索できます。Resource Explorer は、 アカウントの AWS リージョン間で動作し、リージョン間のワークロードを簡素化します。

Resource Explorer を と統合すると AWS Organizations、評価の範囲内に組織 AWS アカウント から複数の を含めることで、より広範なソースから証拠を収集できます。

以下の情報は、 AWS Resource Explorer との統合に役立ちます AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールは、組織内のアカウントでサポートされている操作を Resource Explorer が実行できるようにします。

このロールを削除または変更できるのは、Resource Explorer と Organizations 間における信頼されたアクセスを無効にした場合か、組織からメンバーアカウントを削除した場合のみです。

Resource Explorer がこのロールを使用する方法の詳細については、「AWS Resource Explorer ユーザーガイド」の「Using service-linked roles」を参照してください。

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Resource Explorer が使用するサービスリンクロールは、次のサービスプリンシパルにアクセス許可を付与します。

で信頼されたアクセスを有効にするには AWS Resource Explorer

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Resource Explorer では、組織の委任管理者としてメンバーアカウントを指定する AWS Organizations 前に、 への信頼されたアクセスが必要です。

信頼されたアクセスは、Resource Explorer コンソールまたは Organizations コンソールを使用して有効にできます。可能な場合は常に、Resource Explorer のコンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。これにより、 は、サービスに必要なリソースの作成など、必要な設定 AWS Resource Explorer を実行できます。

Resource Explorer コンソールを使用して信頼されたアクセスを有効にする

信頼されたアクセスを有効にする手順については、「AWS Resource Explorer ユーザーガイド」の「Prerequisites to using Resource Explorer」を参照してください。

信頼されたアクセスを有効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。

• AWS CLI: enable-aws-service-access

  次のコマンドを実行して、Organizations で信頼されたサービス AWS Resource Explorer として を有効にします。

  $ aws organizations enable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: EnableAWSServiceAccess

Resource Explorer との信頼されたアクセスを無効にする

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

で信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです AWS Resource Explorer。

信頼されたアクセスは、 AWS Resource Explorer または AWS Organizations ツールを使用して無効にできます。

信頼されたアクセスを無効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

信頼されたサービスアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。

• AWS CLI: disable-aws-service-access

  次のコマンドを実行して、Organizations の信頼されたサービス AWS Resource Explorer として を無効にします。

  $ aws organizations disable-aws-service-access \
      --service-principal resource-explorer-2.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: DisableAWSServiceAccess

Resource Explorer 用の委任管理者アカウントの有効化

委任管理者アカウントを使用してマルチアカウントリソースビューを作成し、組織単位または組織全体にスコープします。リソース共有を作成 AWS Resource Access Manager することで、 を介してマルチアカウントビューを組織内の任意のアカウントと共有できます。

Resource Explorer 用の委任管理者アカウントを有効にする手順については、「AWS Resource Explorer ユーザーガイド」の「セットアップ」を参照してください。

AWS Resource Explorer コンソールを使用して委任管理者を設定すると、Resource Explorer は自動的に信頼されたアクセスを有効にします。

AWS CLI, AWS API

CLI またはいずれかの AWS SDKs を使用して AWS 委任管理者アカウントを設定する場合は、次のコマンドを使用できます。

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal resource-explorer-2.amazonaws.com

• AWS SDK: Organizations RegisterDelegatedAdministratorオペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスをパラメータresource-explorer-2.amazonaws.comとして識別します。

Resource Explorer 用の委任管理者の無効化

Resource Explorer 用の委任管理者を削除できるのは、Organizations の管理アカウント、または Resource Explorer の委任管理者アカウントの管理者のみです。信頼されたアクセスは、Organizations DeregisterDelegatedAdministrator CLI または SDK 操作を使用して無効にできます。