メニュー
AWS Identity and Access Management
ユーザーガイド

サードパーティの ID プロバイダー(フェデレーション)用のロールの作成

ID フェデレーションは、サードパーティ ID プロバイダー (IdP) を利用してユーザーに AWS リソースへのアクセスを提供します。ID フェデレーションをセットアップするには、プロバイダーを設定し、フェデレーションユーザーが持つアクセス権限を決定する IAM ロールを作成します。フェデレーションおよび認証プロバイダーについて詳しくは、「ID プロバイダーとフェデレーション」を参照してください。

フェデレーションユーザー用ロールの作成(AWS マネジメントコンソール)

フェデレーションユーザー用のロールを作成するステップは、サードパーティプロバイダーの選択によって異なります。

フェデレーションアクセス用ロールの作成(AWS Command Line Interface)

AWS CLI からサポート対象の ID プロバイダー(OIDC または SAML)用のロールを作成するステップは同じです。違いは、前提条件のステップで作成する信頼ポリシーの内容です。お使いのプロバイダーのタイプに合わせた前提条件セクションのステップに従って開始します。

AWS CLI を使用したロールの作成には、複数のステップがあります。コンソールを使用してロールを作成する場合、多くのステップは自動的に行われますが、CLI を使用する場合は、各ステップを明示的に実行する必要があります。最初に信頼ポリシーを作成し、ロールを作成してから、そのロールにアクセスポリシーを割り当てます。

AWS CLI を使用してロールを作成するには

次のコマンドを使用します。

次の例は、シンプルな環境でのすべてのステップを示しています。この例では、Windows が動作しているコンピュータで AWS CLI を実行し、認証情報を使って既に AWS CLI を設定済みであることを前提にしています。詳細については、「AWS Command Line Interface の設定」を参照してください。

実行するコマンドは次のとおりです。

Copy
# Create the role and attach the trust policy that enables users in an account to assume the role. $ aws iam create-role --role-name Test-CrossAcct-Role --assume-role-policy-document file://trustpolicyforcognitofederation.json # Attach the permissions policy to the role to specify what it is allowed to do. aws iam put-role-policy --role-name Test-CrossAcct-Role --policy-name Perms-Policy-For-CognitoFederation --policy-document file://permspolicyforcognitofederation.json

フェデレーションアクセス用のロールの作成(Tools for Windows PowerShell)

サポート対象の ID プロバイダー(OIDC または SAML)用のロールを作成するステップは同じです。違いは、前提条件のステップで作成する信頼ポリシーの内容です。お使いのプロバイダーのタイプに合わせた前提条件セクションのステップに従って開始します。

Tools for Windows PowerShell を使用したロールの作成には、複数のステップがあります。コンソールを使用してロールを作成する場合、多くのステップは自動的に行われますが、Tools for Windows PowerShell を使用する場合は、各ステップを明示的に実行する必要があります。最初に信頼ポリシーを作成し、ロールを作成してから、そのロールにアクセスポリシーを割り当てます。

Tools for Windows PowerShell を使用してロールを作成するには

次のコマンドを使用します。

  • ロールを作成するには: New-IAMRole

  • アクセスポリシーをロールに付与するには:

    Register-IAMRolePolicy で既存の管理ポリシーをアタッチするか、

    -または-

    Write-IAMRolePolicy でインラインポリシーを作成します。

次の例は、シンプルな環境でのすべてのステップを示しています。例では、認証情報を使って既に Tools for Windows PowerShell を構成しているものと仮定しています。詳細については、AWS セキュリティ認証情報の使用を参照してください。

実行するコマンドは次のとおりです。

Copy
# Create the role and attach the trust policy that enables users in an account to assume the role. PS C:\> New-IAMRole -RoleName Test-Federation-Role -AssumeRolePolicyDocument (Get-Content -Raw C:\policies\trustpolicyforfederation.json) # Attach a managed permissions policy to the role to specify what it is allowed to do. PS C:\> Register-IAMRolePolicy -RoleName Test-Federation-Role -PolicyArn arn:aws:iam::aws:policy/PolicyForFederation

フェデレーションアクセス用のロールの作成(IAM API)

ロールを作成する前に、お使いのプロバイダーのタイプに合わせた前提条件セクションのステップに従う必要があります。

IAM API を使用した ID フェデレーション用のロールの作成

次のコマンドを使用します。

  • ロールを作成するには: CreateRole

  • アクセスポリシーをロールに付与するには:

    AttachRolePolicy で既存の管理ポリシーをアタッチするか、

    または

    PutRolePolicy でインラインポリシーを作成します。