メニュー
AWS Identity and Access Management
ユーザーガイド

ユーザーがアカウントにサインインする方法

IAM ユーザーとパスワードをそれぞれ作成した後で、アカウント ID またはエイリアスを使用して AWS アカウントの AWS マネジメントコンソール にログインするか、アカウント ID を含む特別な URL からサインインできます。

デフォルトでは、アカウントのサインイン URL にはアカウント ID が含まれています。アカウントのサインイン URL を作成し、URL にアカウント ID ではなく名前を含めることができます。詳細については、「AWS アカウント ID とその別名」を参照してください。

サインインのエンドポイントは、次のパターンをたどります。

Copy
https://AWS-account-ID-or-alias.signin.aws.amazon.com/console

IAM コンソールダッシュボードでアカウントのサインイン URL を見つけることができます。

 IAM ダッシュボード、サインイン URL

また、次のエンドポイントでサインインして手動でアカウント ID やエイリアスを入力し、それが URL に埋め込まれないようにすることもできます。

Copy
https://signin.aws.amazon.com/console

ヒント

ウェブブラウザでアカウント固有のサインインページのブックマークを作成するには、アカウントのサインイン URL を手動でブックマークエントリに入力する必要があります。ウェブブラウザの "このページをブックマークする" 機能を使用しないでください。

アカウントの IAM ユーザーは、ユーザー、またはユーザーが属する IAM グループにアタッチされたポリシーに特定された AWS リソースにのみアクセスできます。 ユーザーがコンソールで操作するには、AWS リソースのリスト表示や作成など、コンソールが実行するアクションの実行権限が必要です。詳細については、「アクセス管理」および「ポリシーの例」を参照してください。

注記

組織に既存のアイデンティティシステムがある場合は、シングルサインオン (SSO) オプションを作成することができます。SSO を使用すると、ユーザーは IAM ユーザーアイデンティティを持たなくてもアカウントの AWS マネジメントコンソール にアクセスできます。SSO では、ユーザーが組織のサイトにサインインしたり、AWS に個別にサインインする必要もなくなります。詳細については、「フェデレーションユーザーに対して AWS マネジメントコンソール へのアクセスを許可する URL の作成(カスタムフェデレーションブローカー)」を参照してください。

CloudTrail でのログ記録サインインの詳細

CloudTrail を有効化してログにサインインイベントを記録する場合、CloudTrail がイベントを記録する場所を選択するしくみを認識しておく必要があります。

  • ユーザーがコンソールに直接サインインすると、選択されたサービスのコンソールがリージョンをサポートするかどうかによって、グローバルまたはリージョンのサインインエンドポイントにリダイレクトされます。たとえば、メインコンソールのホームページはリージョンをサポートするため、次の URL にサインインした場合:

    Copy
    https://alias.signin.aws.amazon.com/console

    「デフォルト」のリージョンのサインインエンドポイント https://us-east-1.signin.aws.amazon.com にリダイレクトされ、そのリージョンのログでリージョンの CloudTrail ログエントリとなります。

    一方、Amazon S3 コンソールはリージョンをサポートしないため、次の URL にサインインした場合:

    https://alias.signin.aws.amazon.com/console/s3

    AWS により https://signin.aws.amazon.com にあるグローバルのサインインエンドポイントにリダイレクトされ、グローバルの CloudTrail ログエントリとなります。

  • リージョン対応のメインコンソールのホームページで次のような URL 構文を使ってサインインすることにより、手動で特定のリージョンのサインインエンドポイントをリクエストすることができます。

    Copy
    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS により ap-southeast-1 リージョンサインインエンドポイントにリダイレクトされ、そのリージョンの CloudTrail ログイベントとなります。

CloudTrail と IAM の詳細については、「Logging IAM Events with AWS CloudTrail」を参照してください。

ユーザーが、アカウントの操作のためにプログラムによるアクセスが必要な場合は、「アクセスキーの作成、修正、および表示 (コンソール)」に従って、各ユーザーにアクセスキーペア (アクセスキー ID とシークレットアクセスキー) を作成できます。