ユーザーがアカウントにサインインする方法 - AWS Identity and Access Management

ユーザーがアカウントにサインインする方法

(パスワードを使用して) IAM ユーザーを作成すると、そのユーザーは AWS マネジメントコンソール にサインインできます。サインインするには、アカウント ID またはエイリアスが必要です。また、アカウント ID を含むカスタム URL からサインインすることもできます。

注記

貴社に既存のアイデンティティシステムがある場合は、シングルサインオン (SSO) オプションを作成することができます。SSO を使用すると、ユーザーは IAM ユーザー ID を持たなくても AWS マネジメントコンソール にアクセスできます。SSO では、ユーザーが組織のサイトにサインインしたり、AWS に個別にサインインする必要もなくなります。詳細については、「カスタム ID ブローカーに対する AWS コンソールへのアクセスの許可」を参照してください。

アカウントのサインイン URL を作成する前に、アカウント ID の代わりにアカウント名が URL に含まれるようにアカウントエイリアスを作成します。詳細については、「AWS アカウント ID とその別名」を参照してください。

IAM コンソールダッシュボードでアカウントのサインイン URL を見つけることができます。


      IAM ダッシュボード、サインイン URL

IAM ユーザーのサインイン URL を作成するには、次のパターンを使用します。

https://account-ID-or-alias.signin.aws.amazon.com/console

IAM ユーザーはまた、カスタム URL を使用しないで次のエンドポイントでサインインして手動でアカウント ID やエイリアスを入力することもできます。

https://signin.aws.amazon.com/console

コンソールのアクティビティに必要なアクセス許可

アカウントの IAM ユーザーは、ポリシーで指定した AWS リソースにのみアクセスできます。このポリシーは、ユーザーまたはユーザーが属する IAM グループにアタッチする必要があります。ユーザーがコンソールで操作するには、AWS リソースのリスト表示や作成など、コンソールが実行するアクションの実行権限が必要です。詳細については、「アクセス管理」および「IAM アイデンティティベースのポリシーの例」を参照してください。

アカウント内のユーザーにプログラムによるアクセスが必要な場合は、各ユーザーにアクセスキーペア (アクセスキー ID とシークレットアクセスキー) を作成できます。詳細については、「アクセスキーの管理 (コンソール)」を参照してください。

CloudTrail でのログ記録サインインの詳細

CloudTrail を有効にして、サインインイベントを記録する場合は、CloudTrail がイベントをどのように記録するかを理解する必要があります。CloudTrail には、グローバルログエントリとリージョンログエントリが含まれます。CloudTrail のサインインイベントの記録場所は、ユーザーのサインイン方法によって異なります。詳細については、「CloudTrail での IAM イベントのログ記録」を参照してください。