翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Systems Manager および AWS Organizations
<a name="services-that-can-integrate-ssm"></a>

AWS Systems Manager は、 リソースの可視性と制御を可能にする機能のコレクションです AWS 。次の Systems Manager 機能は、組織内のすべての AWS アカウント にわたって組織と連携します。
+ Systems Manager Explorer は、 AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Organizations と Systems Manager Explorer を使用して、組織内のすべての AWS アカウント でオペレーションデータを同期できます。詳細については、*AWS Systems Manager ユーザーガイド*の [Systems Manager Explorer](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer.html) を参照してください。
+ Systems Manager Change Manager は、アプリケーションの設定とインフラストラクチャに対する運用上の変更をリクエスト、承認、実装、レポートするためのエンタープライズ変更管理フレームワークです。詳細については、「*AWS Systems Manager ユーザーガイド*」の「[AWS Systems Manager Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager.html)」を参照してください。
+ Systems Manager OpsCenter は、オペレーションエンジニアや IT プロフェッショナルが AWS リソースに関連する運用作業項目 (OpsItems) を表示、調査、解決できる一元的な場所を提供します。組織で OpsCenter を使用する場合、管理アカウント (組織の管理アカウントまたは Systems Manager 委任管理者アカウントのいずれか) と 1 つの他のアカウントからの OpsItems の単一セッションでの作業がサポートされます。設定が完了すると、ユーザーは次のタイプのアクションを実行できます。
  + 別のアカウントで OpsItems を作成、表示、および更新します。
  + 別のアカウントの OpsItems で指定された AWS リソースに関する詳細情報を表示します。
  + Systems Manager Automation ランブックを起動して、別のアカウントの AWS リソースの問題を修正します。

  詳細については、「AWS Systems Manager ユーザーガイド」の「[AWS Systems Manager OpsCenter](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)」を参照してください。
+ 高速セットアップを使用すると、推奨されるベストプラクティスを使用して、頻繁に使用される AWS サービスや機能をすばやく設定できます。詳細については、「AWS Systems Manager ユーザーガイド」の「[AWS Systems Manager Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-quick-setup.html)」を参照してください。**

  Systems Manager の AWS Organizations 委任管理者アカウントを登録すると、組織内の組織単位をターゲットとするクイックセットアップ設定マネージャーを作成、更新、表示、削除できます。詳細については、「*AWS Systems Manager ユーザーガイド*」の「[Using a delegated administrator for Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-delegated-administrator.html)」を参照してください。
+ Systems Manager の統合コンソールを設定するときは、委任管理者アカウントを入力します。このアカウントは、Quick Setup、Explorer、CloudFormation StackSets、Resource Explorer に AWS Organizations 委任管理者アカウントを登録するために使用されます。詳細については、「*AWS Systems Manager ユーザーガイド*」の「[Setting up Systems Manager integrated console for an organization](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-organizations.html)」を参照してください。

以下の情報は、 AWS Systems Manager との統合に役立ちます AWS Organizations。



## 統合を有効にする際に作成されるサービスにリンクされたロール
<a name="integrate-enable-slr-ssm"></a>

信頼されたアクセスを有効にすると、以下の[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)が組織の管理アカウントに自動的に作成されます。このロールにより、Systems Manager はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Systems Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
+ `AWSServiceRoleForAmazonSSM_AccountDiscovery`

## サービスにリンクされたロールで使用されるサービスプリンシパル
<a name="integrate-enable-svcprin-ssm"></a>

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Systems Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
+ `ssm.amazonaws.com`

## Systems Manager との信頼されたアクセスの有効化
<a name="integrate-enable-ta-ssm"></a>

信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。

Organizations ツールを使用してのみ、信頼されたアクセスのみを有効にできます。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS マネジメントコンソール ]

**Organizations コンソールを使用して信頼されたアクセスを有効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. サービスのリストで **[AWS Systems Manager]** を選択します。

1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。

1. **[ AWS Systems Managerの信頼されたアクセスを有効にする]** ダイアログボックスで、**[有効にする]** と入力して確定し、**[信頼されたアクセスを有効化]** を選択します。

1. の管理者のみである場合は AWS Organizations、 の管理者に、そのサービスがサービスコンソール から と AWS Organizations 連携できるようになった AWS Systems Manager ことを知らせます。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには**  
信頼されたサービスアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  次のコマンドを実行して、Organizations で信頼されたサービス AWS Systems Manager として を有効にします。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal ssm.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Systems Manager との信頼されたアクセスの無効化
<a name="integrate-disable-ta-ssm"></a>

信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。

Systems Manager では、組織 AWS アカウント 内の 間でオペレーションデータを同期 AWS Organizations するために、 との信頼されたアクセスが必要です。信頼されたアクセスを無効にすると、Systems Manager によるオペレーションデータの同期は失敗し、エラーが報告されます。

信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS マネジメントコンソール ]

**Organizations コンソールを使用して信頼されたアクセスを無効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. サービスのリストで **[AWS Systems Manager]** を選択します。

1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。

1. **[ AWS Systems Managerの信頼されたアクセスを無効にする]** ダイアログボックスで、**[無効にする]** と入力して確定し、**[信頼されたアクセスを無効にする]** を選択します。

1. の管理者のみの場合は AWS Organizations、そのサービスがサービスコンソールまたはツール を使用して を操作する AWS Organizations ことを無効にできるようになった AWS Systems Manager ことを管理者に伝えます。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**  
次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にすることができます。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  次のコマンドを実行して、Organizations で信頼されたサービス AWS Systems Manager として を無効にします。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal ssm.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Systems Manager 用の委任管理者アカウントの有効化
<a name="integrate-enable-da-ssm"></a>

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Systems Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Systems Manager の管理を分離するのに有効です。

組織全体で Change Manager を使用する場合は、委任管理者アカウントを使用します。これは、Change Manager で変更テンプレート、変更リクエスト、変更ランブック、承認ワークフローを管理するためのアカウントとして AWS アカウント 指定されている です。この委任アカウントにより、組織全体の変更アクティビティが管理されます。Change Manager を使用するように組織をセットアップするときは、どのアカウントがこのロールを担うかを指定します。組織の管理アカウントである必要はありません。Change Manager を単一のアカウントのみで使用する場合、委任管理者アカウントは必要ありません。

**特定のメンバーアカウントを委任管理者として指定するには、「*AWS Systems Manager ユーザーガイド*」の以下のトピックを参照してください。**  

+ Explorer と OpsCenter については、「[Configuring a Delegated Administrator](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator.html)」(委任管理者の構成) を参照してください。
+ 変更マネージャーについては、「[Setting up an organization and delegated account for Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html)」(の組織と委任されたアカウントの設定) を参照してください。
+ Quick Setup については、「[Quick Setup の委任管理者の登録解除](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-register-delegated-administrator.html)」を参照してください。

## Systems Manager 用の委任管理者アカウントを無効にする
<a name="integrate-disable-da-ssm"></a>

**委任管理者を指定するには、「*AWS Systems Manager ユーザーガイド*」の以下のトピックを参照してください。**  

+ Explorer と OpsCenter については、「[Explorer 委任管理者の登録解除](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer-setup-delegated-administrator-deregister.html)」を参照してください。
+ 変更マネージャーについては、「[Setting up an organization and delegated account for Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-organization-setup.html)」(の組織と委任されたアカウントの設定) を参照してください。
+ Quick Setup については、「[Quick Setup の委任管理者の登録解除](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-deregister-delegated-administrator.html)」を参照してください。