• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# (オプション)OpsCenter を設定して、複数のアカウント間で OpsItems を一元管理する
Systems Manager OpsCenter を使用すると、選択した AWS リージョン 内の複数の AWS アカウント 間で OpsItems を一元管理できます。この機能は AWS Organizations にお客様の組織をセットアップした後に利用可能になります。AWS Organizations は、作成し一元管理する組織に、複数の AWS アカウントを統合するためのアカウント管理サービスです。AWS Organizations には、お客様のビジネスの予算、セキュリティ、コンプライアンスのニーズをより適切に満たすアカウント管理および一括請求機能が備わっています。詳細については、AWS Organizations ユーザーガイドの「[AWS Organizations とは何か](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。
AWS Organizations 管理アカウントに属するユーザーは、Systems Manager の委任管理者をセットアップできます。OpsCenter のコンテキストでは、委任管理者はメンバーアカウントで OpsItems を作成、編集、表示できます。委任管理者は Systems Manager Automation ランブックを使用して、OpsItems を生成している AWS リソースに関する OpsItems を一括解決または問題を修復することもできます。
**注記**
Systems Manager に対して、委任管理者を 1 人だけ割り当てることができます。詳細については、「[Systems Manager 用の AWS Organizations 委任された管理者の作成](setting_up_delegated_admin.md)」を参照してください。
Systems Manager では、OpsCenter複数の AWS アカウント 間で OpsItems を一元管理するための設定方法として、次の方法が用意されています。
+ **Quick Setup**: Systems Manager ツールの 1 つであるクイックセットアップを使用すると、Systems Manager ツールのセットアップタスクと設定タスクを簡略化できます。詳細については、「[AWS Systems Manager Quick Setup](systems-manager-quick-setup.md)」を参照してください。
OpsCenter の Quick Setup を使用すると、複数のアカウント間で OpsItems を管理するために次のタスクを実行できます。
+ アカウントを委任管理者として登録する (委任管理者がまだ指定されていない場合)
+ 必要な AWS Identity and Access Management (IAM) ポリシーとロールを作成する
+ 委任管理者が複数のアカウント間で OpsItems を管理できる AWS Organizations 組織または組織単位 (OU) を指定する
詳細については、「[(オプション) Quick Setup を使用して、複数のアカウント間で OpsItems を管理するように OpsCenter を設定](OpsCenter-quick-setup-cross-account.md)」を参照してください。
**注記**
Quick Setup は、Systems Manager が現在利用可能なすべての AWS リージョン 地域で利用できるわけではありません。複数のアカウント間で OpsItems を一元管理するように OpsCenter を設定したいリージョンで Quick Setup を利用できない場合は、手動で対応する必要があります。Quick Setup を利用できる AWS リージョン のリストを表示するには、[AWS リージョン に Quick Setup の可用性](systems-manager-quick-setup.md#quick-setup-getting-started-regions) を参照してください。
+ **手動セットアップ**: 複数のアカウント間で OpsItems を一元管理するように OpsCenter を設定したいリージョンで Quick Setup を利用できない場合は、手動手順で対応できます。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。
# (オプション) Quick Setup を使用して、複数のアカウント間で OpsItems を管理するように OpsCenter を設定
AWS Systems Manager のツールである Quick Setup により、Systems Manager ツールの設定タスクと構成タスクが簡略化されます。OpsCenter 用の Quick Setup は、複数のアカウント間で OpsItems を管理するための次のタスクの実行に有用です。
+ 委任された管理者のアカウントを指定する
+ 必要な AWS Identity and Access Management (IAM) ポリシーとロールを作成する
+ 委任管理者が複数のアカウント間で OpsItems を管理できる AWS Organizations 組織、またはメンバーアカウントのサブセットを指定する
Quick Setup を使用して複数のアカウント間で OpsItems を管理するように OpsCenter を設定すると、Quick Setup は指定されたアカウントに次のリソースを作成します。これらのリソースは、OpsItems を生成する AWS リソース生成に関する問題を解決するため、OpsItems をで作業し、オートメーションランブックを使用する権限を指定されたアカウントに付与します。
****
| リソース | アカウント |
| --- | --- |
| `AWSServiceRoleForAmazonSSM_AccountDiscovery` AWS Identity and Access Management (IAM) サービスリンクロール このロールの詳細については、「[ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集](using-service-linked-roles-service-action-2.md)」を参照してください。 | AWS Organizations 管理アカウントと委任された管理者アカウント |
| `OpsItem-CrossAccountManagementRole` IAM ロール `AWS-SystemsManager-AutomationAdministrationRole` IAM ロール | 委任された管理者アカウント |
| `OpsItem-CrossAccountExecutionRole` IAM ロール `AWS-SystemsManager-AutomationExecutionRole` IAM ロール デフォルトの OpsItem グループ (`OpsItemGroup`) に対する `AWS::SSM::ResourcePolicy` Systems Manager リソースポリシー | すべての AWS Organizations メンバーアカウント |
**注記**
[手動](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)で複数のアカウント間で OpsItems を管理するように OpsCenter を設定していた場合は、そのプロセスのステップ 4 と 5 で作成された AWS CloudFormation スタックまたはスタックセットを削除する必要があります。以下の手順を実行したときにそれらのリソースがアカウントに存在する場合、Quick Setup はクロスアカウント OpsItem 管理を適切に設定できません。
**Quick Setup を使用して複数のアカウント間で OpsItems を管理するように OpsCenter を設定するには**
1. AWS Organizations 管理アカウントを使用して AWS マネジメントコンソール にログインします。
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Quick Setup]** を選択します。
1. [**ライブラリ**] タブを選択します。
1. 一番下までスクロールして、**OpsCenter** 設定タイルを探します。**[作成]** を選択します。
1. Quick SetupOpsCenter ページの [**委任管理者**] セクションに、アカウント ID を入力します。このフィールドを編集できない場合は、Systems Manager の委任管理者アカウントがすでに指定されています。
1. [**ターゲット**] セクションで、オプションを選択してください。[**カスタム**] を選択した場合は、複数のアカウント間で OpsItems を管理する組織単位 (OU) を選択します。
1. **[作成]** を選択します。
Quick Setup は OpsCenter 設定を作成し、必要な AWS リソースを指定された OU にデプロイします。
**注記**
複数のアカウント間で OpsItems を管理しない場合は、Quick Setup から設定を削除できます。設定を削除すると、Quick Setup は設定が最初にデプロイされたときに作成された次の IAM ポリシーとロールを削除します。
委任された管理者のアカウントからの `OpsItem-CrossAccountManagementRole`
`OpsItem-CrossAccountExecutionRole` と `SSM::ResourcePolicy` をすべての Organizations のメンバーアカウントから
Quick Setup は、すべての組織単位および設定が最初にデプロイされた AWS リージョン から、設定を削除します。
## OpsCenter に対する Quick Setupの設定に関する問題のトラブルシューティング
このセクションには、Quick Setup を使用してクロスアカウント OpsItem 管理を設定する場合の問題のトラブルシューティングに役立つ情報が含まれています。
**Topics**
+ [次の StackSet へのデプロイに失敗しました: delegatedAdmin](#OpsCenter-quick-setup-cross-account-troubleshooting-stack-set-failed)
+ [Quick Setup 設定ステータスが [失敗] となっている](#OpsCenter-quick-setup-cross-account-troubleshooting-configuration-failed)
### 次の StackSet へのデプロイに失敗しました: delegatedAdmin
OpsCenter 設定を作成するときに、Quick Setup が Organizations 管理アカウントに 2 つの AWS CloudFormation スタックセットをデプロイします。スタックセットには次のプレフィックス: `AWS-QuickSetup-SSMOpsCenter` を使用します。Quick Setup が次のエラー「`Deployment to these StackSets failed: delegatedAdmin`」表示する場合は、次の手順を使用してこの問題を解決してください。
**StackSets failed:delegatedAdmin エラーをトラブルシューティングするには**
1. Quick Setup コンソールに赤いバナーで `Deployment to these StackSets failed: delegatedAdmin` エラーが表示された場合は、委任された管理者アカウントと、Quick Setup ホームリージョンとして指定された AWS リージョン にサインインします。
1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。
1. Quick Setup 設定で作成されたスタックを選択します。スタック名に **AWS-QuickSetup-SSMOpsCenter** が含まれています。
**注記**
CloudFormation は、失敗したスタックのデプロイを削除することがあります。スタックが **[Stacks]** (スタック) テーブルに表示されない場合は、フィルターリストから **[Deleted]** (削除済み) を選択します。
1. **[Status]** (ステータス) と **[Status reason]** (ステータス理由) を表示します。スタックのステータスの詳細については、「*AWS CloudFormationユーザーガイド*」の「[スタックステータスコード](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)」を参照してください。
1. 失敗したステップを正確に把握するには、**[Events]** (イベント) タブを開き、各イベントの **[Status]** (ステータス) を確認します。詳細については、「AWS CloudFormation ユーザーガイド」の「[トラブルシューティング](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)」を参照してください。
**注記**
CloudFormation のトラブルシューティングに関するステップによりデプロイの失敗を解決できない場合は、設定を削除したうえで再試行します。
### Quick Setup 設定ステータスが [失敗] となっている
[**構成の詳細**] ページの [**構成の詳細**] テーブルに設定ステータスが `Failed` と表示されている場合は、障害が発生した AWS アカウント およびリージョンにサインインします。
**Quick Setup が OpsCenter 設定の作成に失敗した場合のトラブルシューティングを行うには**
1. 障害が発生した AWS アカウントと AWS リージョンにサインインしてください。
1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。
1. Quick Setup 設定で作成されたスタックを選択します。スタック名に **AWS-QuickSetup-SSMOpsCenter** が含まれています。
**注記**
CloudFormation は、失敗したスタックのデプロイを削除することがあります。スタックが **[Stacks]** (スタック) テーブルに表示されない場合は、フィルターリストから **[Deleted]** (削除済み) を選択します。
1. **[Status]** (ステータス) と **[Status reason]** (ステータス理由) を表示します。スタックのステータスの詳細については、「*AWS CloudFormationユーザーガイド*」の「[スタックステータスコード](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)」を参照してください。
1. 失敗したステップを正確に把握するには、**[Events]** (イベント) タブを開き、各イベントの **[Status]** (ステータス) を確認します。詳細については、「AWS CloudFormation ユーザーガイド」の「[トラブルシューティング](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)」を参照してください。
#### メンバーアカウント設定で ResourcePolicyLimitExceededException と表示されている
スタックのステータスが `ResourcePolicyLimitExceededException` と示されている場合、アカウントは[手動で](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)、以前 OpsCenter クロスアカウント管理にオンボーディングされたことがあります。この問題を解決するには、手動オンボーディングプロセスのステップ 4 と 5 で作成された AWS CloudFormation スタックまたはスタックセットを削除する必要があります。詳細については、「AWS CloudFormation ユーザーガイド」の「[スタックセットの削除](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-delete.html)」と「[CloudFormation コンソールでスタックを削除する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)」を参照してください。
# (オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する
このセクションでは、クロスアカウント OpsItem 管理の OpsCenter を手動で設定する方法について説明します。このプロセスは引き続きサポートされていますが、Systems Manager Quick Setup を使用する新しいプロセスに置き換えられています。詳細については、「[(オプション) Quick Setup を使用して、複数のアカウント間で OpsItems を管理するように OpsCenter を設定](OpsCenter-quick-setup-cross-account.md)」を参照してください。
中央アカウントを設定して、メンバーアカウントの OpsItems 手動を作成し、それらの OpsItems を管理および修正することができます。中央アカウントには、AWS Organizations 管理アカウントか、AWS Organizations 管理アカウントと Systems Manager 委任管理者アカウントの両方を使用することができます。Systems Manager 委任管理者アカウントを中央アカウントとして使用することをお勧めします。この機能は、AWS Organizations を設定した後にのみ使用できます。
AWS Organizations では、ユーザーが作成して一元管理する組織に、複数の AWS アカウント を統合することができます。セントラルアカウントユーザーは、選択したすべてのメンバーアカウント用の OpsItems を同時に作成して、これらの OpsItems を管理できます。
このセクションの手順を使用して、Organizations の Systems Manager サービスプリンシパルを有効にし、アカウント間で OpsItems を操作するための AWS Identity and Access Management (IAM) アクセス許可を設定します。
**Topics**
+ [[開始する前に]](#OpsCenter-before-you-begin)
+ [ステップ 1: リソースデータの同期を作成する](#OpsCenter-getting-started-multiple-accounts-onboarding-rds)
+ [ステップ 2: AWS Organizations で Systems Manager のサービスプリンシパルを有効にする](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal)
+ [ステップ 3: サービスにリンクされたロール `AWSServiceRoleForAmazonSSM_AccountDiscovery` を作成する](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR)
+ [タスク 4: アカウント間で OpsItems を操作するためのアクセス許可を設定する](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy)
+ [タスク 5: アカウント間で関連リソースを使用するためのアクセス許可を設定する](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions)
**注記**
アカウント間で OpsCenter を使用する場合、`/aws/issue` タイプの OpsItems のみがサポートされます。
## [開始する前に]
アカウント間で OpsItems を操作するように OpsCenter を設定する前に、以下を設定してください。
+ Systems Manager の委任管理者アカウント 詳細については、「[Explorer のための委任された管理者の設定](Explorer-setup-delegated-administrator.md)」を参照してください。
+ Organizations 内で 1 つの組織をセットアップして設定します。詳細については、「AWS Organizations ユーザーガイド」の「[組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」を参照してください。
+ 複数の AWS リージョン アカウントと AWS にわたって自動化ランブックを実行するように Systems Manager Automation を設定しました。詳細については、「[複数の AWS リージョン とアカウントでのオートメーションの実行](running-automations-multiple-accounts-regions.md)」を参照してください。
## ステップ 1: リソースデータの同期を作成する
AWS Organizations のセットアップと設定の完了後、リソースデータ同期を作成することで、組織全体について OpsCenter の OpsItems を集計できるようになります。詳細については、「[リソースデータ同期の作成](Explorer-resource-data-sync-configuring-multi.md)」を参照してください。同期を作成するときは、**[アカウントの追加]** セクションで、必ず **[AWS Organizations 設定のすべてのアカウントを含める]** オプションを選択します。
## ステップ 2: AWS Organizations で Systems Manager のサービスプリンシパルを有効にする
ユーザーがアカウントをまたいで OpsItems を使用できるようにするには、AWS Organizations で Systems Manager サービスプリンシパルを有効にしておく必要があります。以前に、他のツールを使用してマルチアカウントシナリオ用に Systems Manager を設定済みの場合は、Organizations 内で、既に Systems Manager サービスプリンシパルの設定が完了している場合があります。これを確認するには、 AWS Command Line Interface (AWS CLI) から以下のコマンドを実行します。他のマルチアカウントシナリオで Systems Manager を設定していない場合は、次の「AWS Organizations で Systems Manager サービスプリンシパルを有効にする」の手順に進んでください。
**Systems Manager サービスプリンシパルが AWS Organizations で有効になっていることを確認するには**
1. 最新バージョンの [ をローカルマシンに](https://aws.amazon.com/cli/)ダウンロードAWS CLIします。
1. AWS CLI を開いて次のコマンドを実行し、認証情報と AWS リージョン リージョンを指定します。
```
aws configure
```
以下を指定するよう求められます。次の例では、各 *ユーザー入力プレースホルダー* を独自の情報に置き換えます。
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. 次のコマンドを実行して、AWS Organizations のために Systems Manager サービスプリンシパルが有効になっていることを確認します。
```
aws organizations list-aws-service-access-for-organization
```
このコマンドは、下記の例のような情報を返します。
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:27.732000-08:00"
},
{
"ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
"DateEnabled": "2022-01-19T12:30:48.352000-08:00"
},
{
"ServicePrincipal": "ssm.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:26.599000-08:00"
}
]
}
```
**AWS Organizations で Systems Manager サービスプリンシパルを有効化する**
まだ、Systems Manager サービスプリンシパルを Organizations 用に設定していない場合は、次に説明する手順に従って設定します。このコマンドの詳細については、「AWS CLI コマンドリファレンス」の「[enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)」を参照してください。
1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。詳細については、「[CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」および「[CLI の設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)」を参照してください。
1. 最新バージョンの [ をローカルマシンに](https://aws.amazon.com/cli/)ダウンロードAWS CLIします。
1. AWS CLI を開いて次のコマンドを実行し、認証情報と AWS リージョン リージョンを指定します。
```
aws configure
```
以下を指定するよう求められます。次の例では、各 *ユーザー入力プレースホルダー* を独自の情報に置き換えます。
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. 以下のコマンドを実行して、AWS Organizations 用に Systems Manager サービスプリンシパルを有効にします。
```
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
```
## ステップ 3: サービスにリンクされたロール `AWSServiceRoleForAmazonSSM_AccountDiscovery` を作成する
`AWSServiceRoleForAmazonSSM_AccountDiscovery` ロールなどサービスにリンクされたロールは、AWS のサービス (例えば Systems Manager) に直接リンクされた、一意のタイプの IAM ロールです。サービスにリンクされたロールはサービスによって事前定義されており、サービスがお客様の代わりに他の AWS のサービス サービスを呼び出す際に必要な、すべてのアクセス許可が含まれています。`AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールの詳細については、[Systems Manager アカウント検出のためのサービスにリンクされたロールの許可](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2)を参照してください。
AWS CLI を使用してサービスにリンクされたロール `AWSServiceRoleForAmazonSSM_AccountDiscovery` を作成するためには、次の手順を実行します。この手順で使用するコマンドの詳細については、「AWS CLI コマンドリファレンス」の「[create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html)」を参照してください。
**`AWSServiceRoleForAmazonSSM_AccountDiscovery` のサービスにリンクされたロールを作成するには**
1. AWS Organizations 管理アカウントにサインインします。
1. Organizations の管理アカウントにサインインした状態で、次のコマンドを実行します。
```
aws iam create-service-linked-role \
--aws-service-name accountdiscovery.ssm.amazonaws.com \
--description "Systems Manager account discovery for AWS Organizations service-linked role"
```
## タスク 4: アカウント間で OpsItems を操作するためのアクセス許可を設定する
AWS CloudFormation スタックセットを使用して、アカウント間で OpsItems を操作するアクセス許可をユーザーに付与する `OpsItemGroup` リソースポリシーと IAM 実行ロールを作成します。これを開始するには、[https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip) ファイルをダウンロードしてそれを zip 解凍します。このファイルには、`OpsCenterCrossAccountMembers.yaml` CloudFormation テンプレートファイルが含まれています。このテンプレートを使用してスタックセットを作成すると、CloudFormation は、アカウント内で、自動的に `OpsItemCrossAccountResourcePolicy` リソースポリシーと `OpsItemCrossAccountExecutionRole` 実行ロールを作成します。シークレットを作成する方法については、「AWS CloudFormation ユーザーガイド」の「[スタックセットの作成](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)」を参照してください。
**重要**
このタスクに関しては、次の重要事項に留意してください。
このスタックセットは、AWS Organizations 管理アカウントにサインインした状態でデプロイする必要があります。
この手順は、代理管理者アカウントを含むアカウント間で OpsItems を操作するすべてのアカウントにサインインして、繰り返し実行する必要があります。
別の AWS リージョン でクロスアカウントの OpsItems 管理を有効にする場合は、テンプレートの **[Specify regions]** (リージョンの指定) セクションで、**[Add all regions]** (すべてのリージョンを追加) を選択します。クロスアカウントの OpsItem 管理は、オプトインリージョンではサポートされていません。
## タスク 5: アカウント間で関連リソースを使用するためのアクセス許可を設定する
OpsItem には、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon Simple Storage Service (Amazon S3) バケットなど、影響を受けたリソースの詳細情報を含めることができます。前のステップ 4 で作成した `OpsItemCrossAccountExecutionRole` 実行ロールにより、メンバーアカウントの関連リソースを表示するための読み取り専用のアクセス許可が OpsCenter に付与されます。これと同時に、管理アカウントが関連リソースを表示したり操作したりするための許可を付与する、IAM ロールを作成する必要があります。この処理はこのタスクで完了します。
これを開始するには、[https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip) ファイルをダウンロードしてそれを zip 解凍します。このファイルには、`OpsCenterCrossAccountManagementRole.yaml` CloudFormation テンプレートファイルが含まれています。このテンプレートを使用してスタックを作成すると、CloudFormation はアカウント内で、自動的に `OpsCenterCrossAccountManagementRole` IAM ロールを作成します。スタック作成の詳細については、「AWS CloudFormation ユーザーガイド」の「[AWS CloudFormation コンソールでのスタックの作成](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)」 を参照してください。
**重要**
このタスクに関しては、次の重要事項に留意してください。
アカウントを、OpsCenter の委任管理者として指定する予定の場合は、スタックの作成時に必ずその AWS アカウント を指定してください。
この手順は、AWS Organizations の管理アカウントにログインした状態で実行し、委任管理者アカウントに再度ログインした後にも実行する必要があります。