AWS「Non Root Access」オンボーディング

DoiT は、「Management Account」（以前の名称は「Master Payer Account」）のルートアカウントへの排他的アクセス権を保持したいお客様向けに、代替のオンボーディング手法を提供します。

アカウントのオンボーディングを完了するために、各 AWS Master Payer Account（MPA）のルート認証情報への一時的なアクセスが必要です。一時的なアクセス期間中、ルートアカウントの認証情報は、特定の DoiT 従業員グループのみがアクセスできるセキュアなボルトに保管します。オンボーディング完了後、DoiT はお客様がルートアカウントのルート認証情報をリセットするのを支援します。

場合によっては、特定の作業を完了するために DoiT がルートアカウントへの一時的な監督付きアクセスを依頼することがあります。その必要が生じた場合は、お客様のチーム内の指定担当者にご連絡します。

オンボーディングプロセス

ステップ 1 — 準備（お客様対応）

DoiT との契約締結後、カスタマーサクセスマネージャーがオンボーディングの概要を提供し、準備フェーズを案内します。以下の手順でご準備ください。

AWS 組織内の管理 AWS アカウント（以前の名称は Master Payer Account）を特定します。オンボーディングの通話に備えて、ルートアカウントアクセスが可能であることを確認してください。
管理アカウント配下で、Administrator ポリシーを持つ新しい IAM ユーザーを作成します。DoiT がルート認証情報への単独アクセスを持つオンボーディング中、このユーザーで一時的に組織を管理します。

すでにフル権限の IAM ユーザーがいる場合は、このステップは省略できます。
（任意）一時的なアクセス期間中のルートアカウントアクセスについて、CloudTrail ログ記録を有効化します。［FAQ](#faq) を参照してください。
準備が整ったことをカスタマーサクセスマネージャーに通知します。

ステップ 2 — 初回オンボーディング

このステップは、お客様と DoiT の AWS Ops チームによるスケジュール済みの通話中に実施します。

（お客様）ルートアカウントから MFA を削除します（次のステップで DoiT が再度有効化します）。
（お客様）管理アカウントのルートメールアドレスを、DoiT が提供するものに変更します。

注意
新しいメールアドレスは、オンボーディング後も継続して使用されます（［FAQ](#faq) を参照）。
（DoiT）お客様の AWS MPA アカウントのルートパスワードをリセットします。
（DoiT）ルートアカウントで MFA を再有効化します。

ステップ 3 — アカウント設定

このステップは DoiT の AWS Ops チームがオフラインで実施します。

既存の支払い方法を DoiT の支払い方法に置き換えます。
税務プロファイルを DoiT の請求プロファイルと一致する国に設定します。
組織のメール確認プロセスを完了します（ルートメールが変更されたために必要です）。
Cost and Usage Reports を有効化します（未有効化の場合）。
AWS Cost and Usage レポートを保存するための新しい S3 バケット（doitintl-awsops-{id}）を作成します。
新しい Cost and Usage レポート（doitintl-awsops-{id})）を設定します。既に互換性のある CUR レポートがある場合は、S3 コストを節約するためにその事前設定済みレポートを使用します。
DoiT コンソールからのアクセスを容易にするため、doitintl_cmp IAM ロールを作成します。
DoiT-SSO-Strategic と DoiT-SSO-Billing-and-Support ロールを作成します。
AWS Channel Management ダッシュボードを使用して、SPP に組織をオンボードします。

ステップ 4 — ルートアカウントの顧客への返還

このステップはお客様とのスケジュール済み通話中に実施します。

（DoiT）ルートアカウントから MFA を削除します（以下のタスクでお客様側が再有効化します）。
（DoiT）現在のルートパスワードをお客様に提供します（ワンタイム共有機能を使用）。
（お客様）お客様の AWS MPA アカウントのルートパスワードをリセットします。
（お客様）ルートアカウントで MFA を再有効化します。
（DoiT）DoiT のルートアカウントアクセスが削除されたことを確認します。

FAQ

なぜオンボーディングにルート認証情報が必要なのですか？

請求アカウントの設定（支払い方法の設定、Cost & Usage レポートの実装、DoiT コンソールとの連携など）を行うため、一時的なアクセスが必要です。

DoiT インターナショナルはどのようにルート認証情報を保護・保管しますか？

AWS アカウントのルートユーザーの認証情報を DoiT 提供のメールアドレスに更新後、強力な新規パスワードを生成し、AWS アカウントで多要素認証を有効化します。新しいパスワードは暗号化し、専用ソフトウェアを使用してボルトに保管します。DoiT とシークレット管理ソフトウェアの双方は、SOC 2 Type II および ISO27001 の認証を取得しています。

なぜルートアカウントは `@doit-intl.com` のメールアドレスを使用する必要があるのですか？

AWS Solution Provider Program において、DoiT（チャネルパートナー）がお客様をマネージドアカウントとして紐づけるために必要です。お客様のルート認証情報の利用を制限するものではありません。

ルート認証情報の一時的な移管中に、当社の AWS アクセスは影響を受けますか？

ユーザーに適切な IAM アクセスが付与されていれば、一時的な移管中に影響はありません。

DoiT はどのくらいの期間、一時的なアクセスを必要としますか？

通常、アカウントのオンボーディング完了までに 24–72 時間かかります。オンボーディングが可能な限り迅速に完了するよう、DoiT のリソースをスケジュールします。

DoiT はどのようにルートアクセスを返還しますか？

オンボーディング完了後、DoiT はお客様との通話を設定し、ルートユーザーの認証情報をリセットします。

ルートユーザーのメールは、契約上の義務を遂行するため、@doit-intl.com のままとなります。

管理アカウント上のロールの IAM ポリシーを共有できますか？

もちろんです。DoiT コンソールのロール doitintl_cmp のポリシーは［this gist](https://gist.github.com/spark2ignite/e2a5a23fc6d239837cc3765cc0db024d) で確認できます。

DoiT-SSO-Strategic ロールとは何ですか？誰が、いつ使用しますか？

DoiT-SSO-Strategic ロールは、Strategic Account Manager（SAM）に対し、顧客の利用状況の確認、顧客からの依頼に基づく Savings Plan の購入、必要に応じたエキスパート問い合わせの発行を行うためのアクセスを付与します。また、このロールは請求自動化による請求書回収にも利用されます。

DoiT-SSO-Strategic ロールには以下の AWS 管理ポリシーが付与されています。

arn:aws:iam::aws:policy/job-function/SupportUser
arn:aws:iam::aws:policy/job-function/Billing
arn:aws:iam::aws:policy/AWSSupportAccess
arn:aws:iam::aws:policy/AWSSavingsPlansFullAccess

インライン IAM ポリシーは［this gist](https://gist.github.com/spark2ignite/d25407fdfb803af1edbd4989dcc499cf) に含まれています。

DoiT-SSO-Billing-and-Support ロールとは何ですか？誰が、いつ使用しますか？

DoiT の Forward Deployed Engineering（FDE）チームは、顧客からのリクエストに対応する際に DoiT-SSO-Billing-and-Support ロールを使用して、以下のアクションを実行します。

顧客に代わって AWS サポートリクエストを送信
コストおよび使用状況データの確認
組織設定の確認

DoiT-SSO-Billing-and-Support ロールには以下の AWS 管理ポリシーが付与されています。

arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
arn:aws:iam::aws:policy/AWSSupportAccess
arn:aws:iam::aws:policy/AWSBillingReadOnlyAccess

請求アカウントが `@doit-intl.com` の場合、DoiT はルート認証情報と MFA をリセットできますか？

MFA を解除してアカウントへのアクセスを回復するため、AWS にサポートリクエストを提出できる場合があります。ただし、これは例えばお客様の MFA デバイス紛失時や、契約条件に基づく支払い不履行により DoiT がお客様のアカウントのオフボーディングを行う必要がある場合など、特定のシナリオに限られます。

不審なアクティビティに気付けるよう、ルートユーザーアカウントのすべてのアクティビティについて CloudTrail ログ記録を有効化することを推奨します。アカウント監視には複数のアプローチがあり、当社の CRE チームが実装を喜んで支援します。

DoiT は継続的にルートアクセスを必要としますか？

恒久的なアクセスは必要ありません。ただし、例えば AWS Support への請求関連ケースの起票や支払い方法の調整など、ルートアクセスが必要となる場合があります。その際は、一時的な監督付きアクセスを依頼するためにご連絡します。

ルートアカウントが `@doit-intl.com` ドメイン配下の場合、どのようにメールを受け取れますか？

当社側で特別なグループを設定し、お客様の組織の連絡先も含めることができます。ルートアカウントのメールアドレス宛にメールが送信されると、通知が届きます。

追加の質問はありますか？

問題ありません。アカウントチームまでご連絡ください。喜んでお手伝いします。

オンボーディングプロセス​

ステップ 1 — 準備（お客様対応）​

ステップ 2 — 初回オンボーディング​

ステップ 3 — アカウント設定​

ステップ 4 — ルートアカウントの顧客への返還​

FAQ​

なぜオンボーディングにルート認証情報が必要なのですか？​

DoiT インターナショナルはどのようにルート認証情報を保護・保管しますか？​

なぜルートアカウントは @doit-intl.com のメールアドレスを使用する必要があるのですか？​

ルート認証情報の一時的な移管中に、当社の AWS アクセスは影響を受けますか？​

DoiT はどのくらいの期間、一時的なアクセスを必要としますか？​

DoiT はどのようにルートアクセスを返還しますか？​

管理アカウント上のロールの IAM ポリシーを共有できますか？​

DoiT-SSO-Strategic ロールとは何ですか？誰が、いつ使用しますか？​

DoiT-SSO-Billing-and-Support ロールとは何ですか？誰が、いつ使用しますか？​

請求アカウントが @doit-intl.com の場合、DoiT はルート認証情報と MFA をリセットできますか？​

DoiT は継続的にルートアクセスを必要としますか？​

ルートアカウントが @doit-intl.com ドメイン配下の場合、どのようにメールを受け取れますか？​

追加の質問はありますか？​