IAM ユーザーが AWS にサインインする方法 - AWS Identity and Access Management

IAM ユーザーが AWS にサインインする方法

IAM ユーザーとして AWS マネジメントコンソール コンソールにサインインするには、ユーザー名とパスワードに加えて、アカウント ID またはアカウントエイリアスを指定する必要があります。管理者がコンソールで IAM ユーザーを作成したときには、ユーザー名とアカウント ID またはアカウントエイリアスを含むアカウントサインインページの URL を含むサインイン認証情報が送信されているはずです。 

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
ヒント

ウェブブラウザでアカウントのサインインページのブックマークを作成するには、アカウントのサインイン URL を手動でブックマークエントリに入力する必要があります。ウェブブラウザのブックマーク機能は使用しないでください。リダイレクトによってサインイン URL が不明確になるからです。

次の一般的なサインインエンドポイントでサインインして、アカウント ID またはアカウントエイリアスを手動で入力することもできます。

https://console.aws.amazon.com/

便宜のために、AWS サインインページではブラウザの Cookie を使用して、IAM ユーザー名とアカウント情報を記憶しています。次にユーザーが AWS マネジメントコンソール のいずれかのページにアクセスすると、コンソールはその Cookie を使用してユーザーをアカウントのサインインページにリダイレクトします。

管理者が IAM ユーザーアイデンティティに付加されたポリシーで指定する AWS リソースにのみアクセスできます。コンソールで操作するには、AWS リソースのリスト表示や作成など、コンソールが実行するアクションの実行権限が必要です。詳細については、「AWS リソースのアクセス管理」および「IAM アイデンティティベースのポリシーの例」を参照してください。

注記

組織に既存のアイデンティティシステムがある場合は、シングルサインオン (SSO) オプションを作成することができます。SSO を使用すると、ユーザーは AWS マネジメントコンソール ユーザーアイデンティティを持たなくてもアカウントの IAM にアクセスできます。SSO では、ユーザーが組織のサイトにサインインしたり、AWS に個別にサインインする必要もなくなります。詳細については、「カスタム ID ブローカーに対する AWS コンソールへのアクセスの許可」を参照してください。

CloudTrail でのログ記録サインインの詳細

CloudTrail を有効化してログにサインインイベントを記録する場合、CloudTrail がイベントを記録する場所を選択するしくみを認識しておく必要があります。

  • ユーザーがコンソールに直接サインインすると、選択されたサービスのコンソールがリージョンをサポートするかどうかによって、グローバルまたはリージョンのサインインエンドポイントにリダイレクトされます。たとえば、メインコンソールのホームページはリージョンをサポートするため、次の URL にサインインした場合: 

    https://alias.signin.aws.amazon.com/console

    リージョンのサインインエンドポイントにリダイレクトされます。たとえば https://us-east-2.signin.aws.amazon.com などの、ユーザーのリージョンのログのリージョンの CloudTrail ログエントリとなります。

    一方、Amazon S3 コンソールはリージョンをサポートしないため、次の URL にサインインした場合:

    https://alias.signin.aws.amazon.com/console/s3

    AWS により https://signin.aws.amazon.com にあるグローバルのサインインエンドポイントにリダイレクトされ、グローバルの CloudTrail ログエントリとなります。

  • リージョン対応のメインコンソールのホームページで次のような URL 構文を使ってサインインすることにより、手動で特定のリージョンのサインインエンドポイントをリクエストすることができます。

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS により ap-southeast-1 リージョンサインインエンドポイントにリダイレクトされ、リージョンの CloudTrail ログイベントとなります。

CloudTrail と IAM の詳細については、「AWS CloudTrail による IAM イベントのログ記録」を参照してください。

ユーザーが、アカウントの操作のためにプログラムによるアクセスが必要な場合は、「アクセスキーの管理 (コンソール)」に従って、各ユーザーにアクセスキーペア (アクセスキー ID とシークレットアクセスキー) を作成できます。