SSO 要件を理解するネイティブ IAM Identity Center ディレクトリを使用した管理者ユーザーの追加 Microsoft Active Directory を使用して管理者ユーザーを追加する外部 ID プロバイダーを使用して管理ユーザーを追加する IAM Identity Center を使用して Amazon Monitron に戻る

Amazon Monitron は、2024 年 10 月 31 日以降、新しいお客様に公開されなくなります。サービスを使用する場合は、その日より前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。Amazon Monitron に似た機能については、ブログ記事を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユーザーディレクトリのセットアップ

Amazon Monitron は AWS IAM Identity Center 、を使用してユーザーアクセスを管理します。ユーザーは、この IAM Identity Center ユーザーディレクトリから追加されます。

管理者ユーザーを追加する方法は、組織の IAM Identity Center の設定方法によって異なります。

重要

Amazon Monitron には、アプリケーションユーザーごとに E メールアドレスが必要です。Microsoft Active Directory や外部 ID プロバイダーなどのディレクトリを使用する場合は、ユーザーの E メールアドレスが追加され、同期されていることを確認する必要があります。

トピック

SSO 要件を理解する
ネイティブ IAM Identity Center ディレクトリを使用した管理者ユーザーの追加
Microsoft Active Directory を使用して管理者ユーザーを追加する
外部 ID プロバイダーを使用して管理ユーザーを追加する
IAM Identity Center を使用して Amazon Monitron に戻る

SSO 要件を理解する

プロジェクトを作成すると、Amazon Monitron は、アカウントで IAM Identity Center が有効で設定されているかどうか、および Amazon Monitron で IAM Identity Center を使用するためのすべての前提条件が満たされているかどうかを自動的に検出します。これらが実行されていない場合、Amazon Monitron はエラーを生成し、必要な前提条件のリストを提供します。管理者ユーザーを追加する前に、すべての前提条件を満たす必要があります。組織の IAM Identity Center の有効化と設定の詳細については、AWS 「シングルサインオン」を参照してください。

重要

Amazon Monitron は、オプトインリージョンと政府リージョンを除くすべての IAM Identity Center リージョンをサポートします。以下のリストは、サポートされているリージョンです。

米国東部 (バージニア北部)
米国東部 (オハイオ)
米国西部 (北カリフォルニア)
米国西部 (オレゴン)
アジアパシフィック (ムンバイ)
アジアパシフィック (東京)
アジアパシフィック (ソウル)
アジアパシフィック (大阪)
アジアパシフィック (シンガポール)
アジアパシフィック (シドニー)
カナダ (中部)
欧州 (フランクフルト)
欧州 (アイルランド)
欧州 (ロンドン)
欧州 (パリ)
欧州 (ストックホルム)
南米 (サンパウロ)

IAM Identity Center の前提条件

IAM Identity Center を設定する前に、以下を行う必要があります。

最初に AWS Organizations サービスを設定し、すべての機能を有効に設定します。この設定の詳細については、「AWS Organizations ユーザーガイド」の「組織内のすべての機能の有効化」を参照してください。
IAM Identity Center のセットアップを開始する前に、 AWS Organizations 管理アカウントの認証情報でサインインします。これらの認証情報は IAM Identity Center を有効にするために必要です。詳細については、AWS Organizations 「ユーザーガイド」のAWS 「組織の作成と管理」を参照してください。組織のメンバーアカウントの認証情報を使用してサインインしている間は、IAMIdentity Center をセットアップできません。
ユーザーポータルSSOにアクセスできるユーザーのプールを決定する ID ソースを選択しました。ユーザーストアにデフォルトの IAM Identity Center ID ソースを使用することを選択した場合、前提条件のタスクは必要ありません。IAM Identity Center ストアは、IAMIdentity Center を有効にするとデフォルトで作成され、すぐに使用できるようになります。このストアを使用してもコストは発生しません。また、Azure Active Directory を使用して、外部 ID プロバイダーに接続することもできます。ユーザーストアの既存の Active Directory に接続する場合は、以下の状態である必要があります。
- に設定された既存の AD Connector または AWS Managed Microsoft AD ディレクトリは AWS Directory Service、組織の管理アカウント内に存在する必要があります。一度に接続できる AWS Managed Microsoft AD ディレクトリは 1 つのみです。ただし、いつでも別の AWS Managed Microsoft AD ディレクトリに変更したり、IAMIdentity Center ストアに戻したりできます。詳細については、「管理ガイド」のAWS Managed Microsoft AD 「ディレクトリの作成」を参照してください。 AWS Directory Service
- ディレクトリが設定されているリージョンに IAM Identity Center を設定します AWS Managed Microsoft AD 。IAM Identity Center は、割り当てデータをディレクトリと同じリージョンに保存します。IAM Identity Center を管理するには、IAMIdentity Center をセットアップしたリージョンに切り替える必要があります。また、IAMIdentity Center のユーザーポータルは、接続されたディレクトリと同じアクセスURLを使用することに注意してください。
次世代ファイアウォール (AWS) やセキュアウェブゲートウェイ () などのウェブコンテンツフィルタリングソリューションを使用して、特定の Amazon Web Service (NGFW) ドメインまたはURLエンドポイントへのアクセスを現在フィルタリングしている場合はSWG、IAMIdentity Center が正しく機能するように、以下のドメインやURLエンドポイントをウェブコンテンツフィルタリングソリューションの許可リストに追加する必要があります。

特定のDNSドメイン
- *.awsapps.com (http://awsapps.com/)
- *.signin.aws
特定のURLエンドポイント
- https://[yourdirectory].awsapps.com/start
- https://[yourdirectory].awsapps.com/ログイン
- https://[yourregion].signin。aws/platform/login

IAM Identity Center を有効にする前に、まず AWS アカウントがIAMロールのクォータ制限に近づいているかどうかを確認することを強くお勧めします。詳細については、IAM「オブジェクトクォータ」を参照してください。クォータ制限に近づいている場合は、クォータを引き上げることを検討してください。そうしないと、IAMロールの制限を超えたアカウントにアクセス許可セットをプロビジョニングする際に、IAMIdentity Center に問題がある可能性があります。

ネイティブ IAM Identity Center ディレクトリを使用した管理者ユーザーの追加

プロジェクトに管理者ユーザーを追加する最も簡単な方法は、IAMIdentity Center のネイティブディレクトリを使用することです。Amazon Monitron の使用を開始し、基本的なレベルで IAM Identity Center を設定することで使用できます。Amazon Monitron を使用する前に IAM Identity Center を設定し、ネイティブディレクトリを使用するように設定することもできます。どちらの方法でも、ユーザーを手動で追加でき、名前と E メールアドレス以外のユーザー ID 情報が他の管理者ユーザーに公開される可能性はありません。

ネイティブ IAM Identity Center ディレクトリを使用する際に管理者ユーザーを追加するには

https://console.aws.amazon.com/monitron で Amazon Monitron コンソールを開きます。
[プロジェクトを作成] を選択します。
ナビゲーションペインで目的のプロジェクトを選択します。
[ユーザー] ページで、管理者ユーザーに割り当てるユーザーを選択します。ユーザーが表示されない場合は、そのユーザーを検索します。

選択したユーザーは、[選択されたユーザー] セクションに表示されます。
目的のユーザーがディレクトリにいない場合は、[ユーザーを作成] をクリックしてユーザーを追加します。
1. [ユーザーを作成] の [E メールアドレス] に、新しい管理者ユーザーのメールアドレスを入力します。
2. [名] と [姓] に管理者の名前を入力します。
3. [ユーザーを作成] をクリックします。
ユーザー名がディレクトリのリストに表示されたら、[追加] をクリックして選択した管理者ユーザーを追加します。
Amazon Monitron モバイルアプリをダウンロードするためのリンクを含む、プロジェクトへの招待 E メールを管理者ユーザーに送信します。詳細については、「招待 E メールの送信」を参照してください。

Amazon Monitron は、プロジェクトの [プロジェクト] ページに移動します。このページには、すべての管理者ユーザーがリストで表示されています。
管理者ユーザーをさらに追加するには、[管理者を追加] をクリックします。

管理者ユーザーは誰でも、Amazon Monitron モバイルアプリを使用してその他のユーザーを追加できます。詳細については、「Amazon Monitron ユーザーガイド」の「Adding a User」を参照してください。

Microsoft Active Directory を使用して管理者ユーザーを追加する

組織のプライマリユーザーディレクトリに Microsoft Active Directory (AD) を使用する場合は、それを使用するように IAM Identity Center を設定できます。IAM Identity Center では、 AWS Directory Service を使用して、セルフマネージド Active Directory を AWS Managed Microsoft AD ディレクトリとして接続できます。この Microsoft AD ディレクトリは、Amazon Monitron コンソール (または Amazon Monitron モバイルアプリ) を使用してユーザーロールを割り当てる際に、プル元の ID プールを提供します。

重要

Amazon Monitron には、アプリケーションユーザーごとに E メールアドレスが必要です。ユーザーの E メールアドレスが追加され、同期されていることを確認してください。

すべての Amazon Monitron 管理者ユーザーは、Amazon Monitron の Identity Center で設定されたユーザーディレクトリ内の IAM ID 情報にアクセスできます。ユーザーの組織情報へのアクセスを制限したい場合は、独立したディレクトリを使用することを強くお勧めします。

Microsoft Active Directory を使用して管理者ユーザーを追加するには

Microsoft Active Directory に接続するように IAM Identity Center を設定します。これに関連するステップは、セルフマネージド Active Directory と AWS Managed Microsoft AD ディレクトリのどちらを使用しているかによって異なります。詳細については、「Connect to Microsoft AD Directory」を参照してください。
https://console.aws.amazon.com/monitron で Amazon Monitron コンソールを開きます。
[プロジェクトを作成] を選択します。
ナビゲーションペインで目的のプロジェクトを選択します。
[Active Directory ドメイン] で、ID を追加するディレクトリドメインを選択します。
ユーザーディレクトリの検索方法に応じて、[ユーザー] または [グループ] を選択します。
検索ボックスに追加する ID の文字列を入力して、[検索] をクリックします。

返されるユーザーの数を制限するには、検索ボックスに長い文字列を入力します。例えば、検索ボックスに「olg」と入力すると、「Olga Kurth」や「Jamie Folgman」など、名前に「olg」という文字が含まれるすべてのユーザーがリストに表示されます。
管理者ユーザーに割り当てるユーザーを選択します。
[追加] をクリックして管理者ユーザーを追加します。

外部 ID プロバイダーを使用して管理ユーザーを追加する

外部 ID プロバイダー (IdP ) を使用している場合は、Security Assertion Markup Language (SAML) 2.0 標準を使用して、そのプロバイダーを使用するように IAM Identity Center を設定できます。これにより、IdP ディレクトリ内の ID プールがわかります。Amazon Monitron コンソール (または Amazon Monitron モバイルアプリ) を使用する際にこのプールを取得し、そこに管理者ユーザーを割り当てることができます。これにより、ユーザーは企業の認証情報を使用して Amazon Monitron にサインインできるようになります。

重要

外部 ID プロバイダー (IdP) を使用して管理者ユーザーを追加するには

外部 IdP に接続するように Identity Center を設定します AWS IAM。これに関連するステップは、使用しているプロバイダーによって異なります。詳細については、「Connect to Your External ID Provider」を参照してください。
https://console.aws.amazon.com/monitron で Amazon Monitron コンソールを開きます。
[プロジェクトを作成] を選択します。
ナビゲーションペインで目的のプロジェクトを選択します。
[ユーザー] ページで、管理者ユーザーに割り当てるユーザーを選択します。ユーザーが表示されない場合は、そのユーザーを検索します。
[追加] をクリックして管理者ユーザーを追加します。

IAM Identity Center を使用して Amazon Monitron に戻る

Amazon Monitron ウェブアプリからログアウトしても、にサインインしている可能性があります AWS IAM Identity Center。ユーザーポータルから開いた他のアプリケーションは開いたままで実行されています。

IAM Identity Center からログアウトする方法は 2 つあります。

IAM Identity Center ポータルから直接ログアウトします。
1 時間に 1 回、 AWS IAMIdentity Center はユーザーがアクティブに AWS サービスを使用しているかどうかを確認します。そうでない場合、IAMIdentity Center から自動的にログアウトされます。

IAM Identity Center を使用する管理者ユーザーについては、「」を参照してくださいユーザーディレクトリのセットアップ。

Amazon Monitron と IAM Identity Center のセキュリティのベストプラクティスについては、「のセキュリティのベストプラクティス Amazon Monitron」を参照してください。

SSO ユーザーポータルの使用については、「ユーザーポータルの使用」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

管理者ユーザーの管理

管理者としてのユーザーの追加