AWS Identity and Access Management
ユーザーガイド

ユーザーがアカウントにサインインする方法

IAM ユーザー (パスワードを含む) を作成した後で、これらのユーザーはアカウント ID またはエイリアスを使用して AWS マネジメントコンソール にログインするか、アカウント ID を含むカスタム URL からサインインできます。

注記

貴社に既存のアイデンティティシステムがある場合は、シングルサインオン (SSO) オプションを作成することができます。SSO を使用すると、ユーザーは IAM ユーザー ID を持たなくても AWS マネジメントコンソール にアクセスできます。SSO では、ユーザーが組織のサイトにサインインしたり、AWS に個別にサインインする必要もなくなります。詳細については、「フェデレーションユーザーに対して AWS マネジメントコンソール へのアクセスを許可する URL の作成 (カスタムフェデレーションブローカー)」を参照してください。

アカウントのサインイン URL を作成する前に、アカウント ID の代わりにアカウント名が URL に含まれるようにアカウントエイリアスを作成します。詳細については、「AWS アカウント ID とその別名」を参照してください。

IAM コンソールダッシュボードでアカウントのサインイン URL を見つけることができます。


      IAM ダッシュボード、サインイン URL

IAM ユーザーのサインイン URL を作成するには、次のパターンを使用します。

https://account-ID-or-alias.signin.aws.amazon.com/console

IAM ユーザーはまた、カスタム URL を使用しないで次のエンドポイントでサインインして手動でアカウント ID やエイリアスを入力することもできます。

https://signin.aws.amazon.com/console

コンソールのアクティビティに必要なアクセス許可

アカウントの IAM ユーザーは、ユーザー、またはユーザーが属する IAM グループにアタッチされたポリシーに特定された AWS リソースにのみアクセスできます。ユーザーがコンソールで操作するには、AWS リソースのリスト表示や作成など、コンソールが実行するアクションの実行権限が必要です。詳細については、「アクセス管理」および「IAM アイデンティティベースのポリシーの例」を参照してください。

CloudTrail でのログ記録サインインの詳細

CloudTrail を有効化してログにサインインイベントを記録する場合、CloudTrail がイベントを記録する場所を選択するしくみを認識しておく必要があります。

  • ユーザーがコンソールに直接サインインすると、選択されたサービスのコンソールがリージョンをサポートするかどうかによって、グローバルまたはリージョンのサインインエンドポイントにリダイレクトされます。たとえば、メインコンソールのホームページはリージョンをサポートするため、次の URL にサインインした場合:

    https://alias.signin.aws.amazon.com/console

    「デフォルト」のリージョンのサインインエンドポイント https://us-east-1.signin.aws.amazon.com にリダイレクトされ、そのリージョンのログでリージョンの CloudTrail ログエントリとなります。

    一方、Amazon S3 コンソールはリージョンをサポートしないため、次の URL にサインインした場合:

    https://alias.signin.aws.amazon.com/console/s3

    AWS により https://signin.aws.amazon.com にあるグローバルのサインインエンドポイントにリダイレクトされ、グローバルの CloudTrail ログエントリとなります。

  • リージョン対応のメインコンソールのホームページで次のような URL 構文を使ってサインインすることにより、手動で特定のリージョンのサインインエンドポイントをリクエストすることができます。

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS により ap-southeast-1 リージョンサインインエンドポイントにリダイレクトされ、そのリージョンの CloudTrail ログイベントとなります。

CloudTrail と IAM の詳細については、「AWS CloudTrail による IAM イベントのログ記録」を参照してください。

ユーザーが、アカウントの操作のためにプログラムによるアクセスが必要な場合は、「アクセスキーの管理 (コンソール)」に従って、各ユーザーにアクセスキーペア (アクセスキー ID とシークレットアクセスキー) を作成できます。