メニュー
AWS Identity and Access Management
ユーザーガイド

IAM ユーザーが AWS にサインインする方法

IAM ユーザーとして AWS マネジメントコンソール コンソールにサインインするには、ユーザー名とパスワードに加えて、アカウント ID またはアカウントエイリアスを指定する必要があります。管理者がコンソールで IAM ユーザーを作成したときには、ユーザー名とアカウント ID またはアカウントエイリアスを含むアカウントサインインページの URL を含むサインイン認証情報が送信されているはずです。

Copy
https://My_AWS_Account_ID.signin.aws.amazon.com/console/

ヒント

ウェブブラウザでアカウントのサインインページのブックマークを作成するには、アカウントのサインイン URL を手動でブックマークエントリに入力する必要があります。ウェブブラウザのブックマーク機能は使用しないでください。リダイレクトによってサインイン URL が不明確になるからです。

次の一般的なサインインエンドポイントでサインインして、アカウント ID またはアカウントエイリアスを手動で入力することもできます。

Copy
https://console.aws.amazon.com/

For convenience, the AWS sign-in page uses a browser cookie to remember the IAM user name and account information. The next time the user goes to any page in the AWS マネジメントコンソール, the console uses the cookie to redirect the user to the account sign-in page.

管理者が IAM ユーザーアイデンティティに付加されたポリシーで指定する AWS リソースにのみアクセスできます。コンソールで操作するには、AWS リソースのリスト表示や作成など、コンソールが実行するアクションの実行権限が必要です。詳細については、「アクセス管理」および「ポリシーの例」を参照してください。

注記

組織に既存のアイデンティティシステムがある場合は、シングルサインオン (SSO) オプションを作成することができます。SSO を使用すると、ユーザーは IAM ユーザーアイデンティティを持たなくてもアカウントの AWS マネジメントコンソール にアクセスできます。SSO では、ユーザーが組織のサイトにサインインしたり、AWS に個別にサインインする必要もなくなります。詳細については、「フェデレーションユーザーに対して AWS マネジメントコンソール へのアクセスを許可する URL の作成(カスタムフェデレーションブローカー)」を参照してください。

Logging sign-in details in CloudTrail

If you enable CloudTrail to log sign-in events to your logs, you need to be aware of how CloudTrail chooses where to log the events.

  • If your users sign-in directly to a console, they are redirected to either a global or a regional sign-in endpoint, based on whether the selected service console supports regions. For example, the main console home page supports regions, so if you sign in to the following URL:

    Copy
    https://alias.signin.aws.amazon.com/console

    you are redirected to a regional sign-in endpoint such as https://us-east-2.signin.aws.amazon.com, resulting in a regional CloudTrail log entry in the user's region's log:

    On the other hand, the Amazon S3 console does not support regions, so if you sign in to the following URL

    https://alias.signin.aws.amazon.com/console/s3

    AWS redirects you to the global sign-in endpoint at https://signin.aws.amazon.com, resulting in a global CloudTrail log entry.

  • You can manually request a certain regional sign-in endpoint by signing in to the region-enabled main console home page using a URL syntax like the following:

    Copy
    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS redirects you to the ap-southeast-1 regional sign-in endpoint and results in a regional CloudTrail log event.

For more information about CloudTrail and IAM, see Logging IAM Events with AWS CloudTrail .

If users need programmatic access to work with your account, you can create an access key pair (an access key ID and a secret access key) for each user, as described in アクセスキーの作成、修正、および表示 (コンソール).