AWS Cloud9 のエンタープライズセットアップ

このトピックでは、AWS Single Sign-On (SSO) を使用して 1 つ以上の AWS アカウントによるエンタープライズ内での AWS Cloud9 の使用を有効にする方法について説明します。他の使用パターンに AWS Cloud9 を使用するように設定するには、正しい手順について「AWS Cloud9 のセットアップ」を参照してください。

これらの手順は、AWS Organizations の組織への管理アクセス権を持っている (あるいは持つことになる) ことを前提としています。AWS Organizations の組織への管理アクセス権を持っていない場合は、AWS アカウント管理者にお問い合わせください。詳細については、以下のリソースを参照してください。

• AWSOrganizations ユーザーガイドのAWS 組織へのアクセス許可管理(AWSSSO は AWS Organizations の使用を要求)の

• AWSSingle Sign-OnユーザーガイドのAWS SSO リソースへのアクセス許可管理の概要

このトピックに関連する基本情報については、以下のリソースを参照してください。

• AWS組織ユーザーガイドのAWS Organizationsとは (AWSSSO は AWS Organizations の使用を要求)

• AWSSingle Sign-OnユーザーガイドのAWSSingle Sign-Onとは

• YouTube ウェブサイトの 4 分間の動画 AWS Knowledge Center Videos: How do I get started with AWS Organizations

• YouTube ウェブサイトの 7 分間の動画 Manage User Access to Multiple AWSAccounts Using AWS Single Sign-on

• YouTube ウェブサイトの 9 分間の動画 How to Setup AWS Single Sign On for Your On-Premise Active Directory Users

次の概念図は、最終的に得られるものを示しています。

AWS アカウントで 1 つ以上のユーザーを有効にしてエンタープライズ内で AWS Cloud9 の使用をスタートには、既に使用している AWS リソースに応じて、次のいずれかのステップから開始します。

内の組織のマスターアカウントとして機能できる、または機能する AWS アカウントをお持ちですか??AWS Organizations	その管理アカウント用の AWS Organizations に組織をお持ちですか。	必要な AWS アカウントはすべてその組織のメンバーですか。	その組織は AWS SSO を使用するようにセットアップされていますか?	その組織は、AWS Cloud9 を使用するすべての必要なグループおよびユーザーで構成されていますか?	このステップから開始します
いいえ	—	—	—	—	ステップ 1: 組織の管理アカウントを作成する
はい	いいえ	—	—	—	ステップ 2: 管理アカウントの組織を作成する
はい	はい	いいえ	—	—	ステップ 3: メンバーアカウントを組織に追加する
はい	はい	はい	いいえ	—	ステップ 4: 組織全体で AWS SSO を有効にする
はい	はい	はい	はい	いいえ	[Step 5.](ステップ 5.) 組織内のグループとユーザーをセットアップする。
はい	はい	はい	はい	はい	ステップ 6. 組織内のグループとユーザーによる AWS Cloud9 の使用を有効にする

ステップ 1: 組織の管理アカウントを作成する

注記

エンタープライズで管理アカウントが既にお客様に対して設定されている場合があります。エンタープライズに AWS アカウント管理者がいる場合は、次の手順をスタートする前にその担当者にチェックしてください。管理アカウントがすでにある場合は、ステップ 2: 管理アカウントの組織を作成するまでスキップします。

AWS Single Sign-On (AWS SSO) を使用するには、AWS Organizations の組織の管理アカウントとして機能する AWS アカウントが必要です。詳細については、AWS OrganizationsユーザーガイドのAWSOrganizations 用語と概念に含まれる管理アカウントに関する説明を参照してください。

次の手順に関連した 4 分間の動画をご覧になるには、YouTube ウェブサイトのAmazon Web Services アカウントの作成を参照してください。

管理アカウントの作成:

1. https://aws.amazon.com/ にアクセスします。

2. ［コンソールにサインインする］を選択します。

3. [新しい AWS アカウントの作成] を選択します。

4. 画面上の指示に従ってプロセスを完了します。この中で、AWS に E メールアドレスとクレジットカード情報を提供します。また、AWS が提供するコードを入力するために電話を使用する必要があります。

アカウントの作成が完了すると、AWS から確認メールが送信されます。この確認が完了するまで、次のステップに進まないでください。

ステップ 2: 管理アカウントの組織を作成する

注記

エンタープライズで管理アカウントを使用するための AWS Organizations が既に設定されている場合があります。エンタープライズに AWS アカウント管理者がいる場合は、次の手順をスタートする前にその担当者にチェックしてください。すでに管理アカウントを使用するように AWS Organizations が設定されている場合は、「ステップ 3: メンバーアカウントを組織に追加する」までスキップします。

AWS SSO を使用するには、管理アカウントを使用する AWS Organizations の組織が必要です。詳細については、AWSOrganizations ユーザーガイドのAWSOrganizations 用語と概念に含まれる組織に関する説明を参照してください。

AWS アカウント管理用に AWS Organizations で組織を作成するには、AWS Organizations ユーザーガイドの次の指示に従います。

1. 組織の作成

2. 組織内のすべての機能の有効化

これらの手順に関連する 4 分間の動画を見るには、YouTube ウェブサイトの「AWS Knowledge Center Videos: How do I get started with AWS Organizations」をご覧ください。

ステップ 3: メンバーアカウントを組織に追加する

注記

エンタープライズで必要なメンバーアカウントで AWS Organizations が既に設定されている場合があります。エンタープライズに AWS アカウント管理者がいる場合は、次の手順をスタートする前にその担当者にチェックしてください。AWS Organizations がすでに必要なメンバーアカウントで設定されている場合は、「ステップ 4: 組織全体で AWS SSO を有効にする」までスキップします。

このステップでは、AWS Organizations の組織のメンバーアカウントとして機能する AWS アカウントを追加します。詳細については、AWSユーザーガイドのAWS OrganizationsOrganizations 用語と概念に含まれるメンバーアカウントに関する説明を参照してください。

注記

組織にメンバーアカウントを追加する必要はありません。組織内では単一の管理アカウントだけで AWS SSO を使用できます。必要に応じて、後でメンバーアカウントを組織に追加できます。今はメンバーアカウントを追加しない場合は、ステップ 4: 組織全体で AWS SSO を有効にするまでスキップします。

AWS Organizations の組織にメンバーアカウントを追加するには、AWS Organizations ユーザーガイド の以下の一連の手順の一方または両方に従います。組織のメンバーとして必要なすべての AWS アカウントを取得するまで、これらの手順を必要な回数だけ繰り返します。

• 組織の AWS アカウントの作成

• 組織への AWS アカウントの招待

ステップ 4: 組織全体で AWS SSO を有効にする

注記

エンタープライズで AWS SSO を使用するための AWS Organizations が既に設定されている場合があります。エンタープライズに AWS アカウント管理者がいる場合は、次の手順をスタートする前にその担当者にチェックしてください。AWS SSO を使用できるように AWS Organizations がすでにセットアップされている場合は、ステップ 5 までスキップします。組織内のグループとユーザーをセットアップします。

このステップで、AWS Organizations の組織による AWS SSO の使用が有効になります。これを行うには、AWS Single Sign-On ユーザーガイドの一連の指示に従います。

1. AWS SSO の前提条件

2. AWS SSO の有効化

ステップ 5. 組織内のグループとユーザーをセットアップする

注記

エンタープライズで AWS Organizations が AWS SSO ディレクトリまたは AWS マネージド Microsoft AD または AWS Directory Service で管理されている AD Connector ディレクトリのいずれかからのグループとユーザーで既に設定されている場合があります。エンタープライズに AWS アカウント管理者がいる場合は、次の手順をスタートする前にその担当者にチェックしてください。AWS Organizations が　AWS SSO ディレクトリまたは AWS Directory Service からのグループとユーザーで既に設定されている場合は、ステップ 6 までスキップします。組織内のグループとユーザーによる AWS Cloud9 の使用を有効にします。

このステップでは、組織の AWS SSO ディレクトリのグループとユーザーを作成するか、組織の AWS で管理されている AWS Directory Service マネージド Microsoft AD ディレクトリまたは AD Connector ディレクトリに接続します。後のステップで、AWS Cloud9 を使用するために必要なアクセス許可をグループに付与します。

• 組織の AWS SSO ディレクトリを使用している場合は、AWS Single Sign-On ユーザーガイドの一連の指示に従います。必要なグループとユーザーがすべて揃うまで、これらのステップを必要な回数だけ繰り返します。

  1. グループを追加します。組織全体の AWS Cloud9 管理者用に少なくとも 1 つのグループを作成し、次にこのステップを繰り返して組織全体のすべての AWS Cloud9 ユーザー用に別のグループを作成することをお勧めします。必要に応じて、このステップを繰り返して、既存の AWS Cloud9 を共有したい組織全体のすべてのユーザーに対して 3 番目のグループを作成できますが、そのユーザーが自分自身で環境を作成する許可をあたえることはできません。使いやすくするために、これらのグループにそれぞれ AWSCloud9Administrators、AWSCloud9Users、および AWSCloud9EnvironmentMembers という名前を付けることをお勧めします。詳細については、「AWS マネージド(事前定義) ポリシーAWS Cloud9」を参照してください。

  2. ユーザーの追加

  3. グループにユーザーを追加します。AWS Cloud9 管理者を AWSCloud9Administrators グループに追加し、このステップを繰り返して AWS Cloud9 ユーザーを AWSCloud9Users グループに追加します。必要に応じて、このステップを繰り返して残りのユーザーを AWSCloud9EnvironmentMembers グループに追加します。ユーザーをグループに追加することは、 AWS セキュリティのベストプラクティスであり、AWS リソースアクセスで問題をより適切に制御、追跡、およびトラブルシューティングするのに役立つ可能性があります。

• 組織の AWS Directory Service で AWS マネージド Microsoft AD または AD Connector ディレクトリを使用している場合、AWSSingle Sign-On ユーザーガイドのMicrosoft AD ディレクトリにConnectの次の指示に従ってください。

ステップ 6. 組織内のグループとユーザーによる AWS Cloud9 の使用を有効にする

デフォルトでは、AWS Organizations の組織のほとんどのユーザーおよびグループは AWS Cloud9 を含む AWS のサービスにアクセスできません。このステップでは、AWS SSO を使用して、AWS Organizations の組織全体のグループとユーザーが、参加アカウントの任意の組み合わせで AWS Cloud9 を使用できるようにします。

1. AWS SSO コンソールで、サービスナビゲーションペインで [AWS アカウント] を選択します。

2. [アクセス許可セット] タブを選択します。

3. [アクセス許可セットの作成] セットを選択します。

4. [Create a custom permission set (カスタムアクセス許可セットの作成)] を選択します。

5. このアクセス許可セットの [名前] を入力します。組織全体の AWS Cloud9 管理者に対して少なくとも 1 つのアクセス許可セットを作成し、この手順のステップ 3 から 10 を繰り返して、組織全体のすべての AWS Cloud9 ユーザーに別のアクセス許可セットを作成することをお勧めします。必要に応じて、この手順のステップ 3 から 10 を繰り返して、既存の AWS Cloud9 開発環境を共有したい組織全体のすべてのユーザーに対して 3 番目の許可セットを作成することもできますが、ユーザー独自の 環境の作成許可を与えることはできません。使いやすくするために、これらのアクセス許可セットにそれぞれ AWSCloud9AdministratorsPerms、AWSCloud9UsersPerms、および AWSCloud9EnvironmentMembersPerms という名前を付けることをお勧めします。詳細については、「AWS Cloud9 のAWSマネージド(事前定義) ポリシー」を参照してください。

6. アクセス許可セットのオプションの [説明] を入力します。

7. アクセス許可セットの [Session duration (セッション期間)] を選択するか、デフォルトのセッション期間 [1 時間] のままにします。

8. [AWS マネージドポリシーを添付)]を選択します。

9. ポリシーのリストで、正しい [ポリシー名] エントリの横にある次のボックスのいずれかを選択します。(ポリシー名そのものを選択しないでください。リストにポリシー名が表示されていない場合は、[検索] ボックスにポリシー名を入力して表示します)。

   • AWSCloud9AdministratorsPerms アクセス許可セットで、[AWSCloud9Administrator] を選択します。

   • AWSCloud9UsersPerms アクセス許可セットで、[AWSCloud9User] を選択します。

   • オプションで、AWSCloud9EnvironmentMembersPerms アクセス許可セットで、[AWSCloud9EnvironmentMember] を選択します。

   注記

   AWS Cloud9で必要なポリシーに加えて、アドインできるポリシーの詳細については、「IAM ユーザーガイドのマネージドポリシーとインラインポリシー」および「ポリシーによって付与される許可について理解」を参照してください。

10. [Create] を選択します。

11. 希望する許可セットすべての作成が完了したら、[AWS組織] タブで、 AWS Cloud9 アクセス許可を割り当てたい AWS アカウントを選択します。( AWS 組織タブが表示されない場合は、サービスナビゲーションペインでAWSアカウントを選択します。 すると、AWS組織タブが表示されます)。

12. [ユーザーの割り当て] を選択します。

13. [グループ] タブで、次のようにして、AWS Cloud9 アクセス許可を割り当てるグループの名前の横にあるボックスを選択します。(グループ名自体を選択しないでください)

    • 組織の AWS SSO ディレクトリを使用している場合、AWS Cloud9 管理者に、AWSCloud9Administratorsという名のグループを作成できます。

    • 組織用に AWS Directory Service で管理している AWS マネージド Microsoft AD または AD Connector ディレクトリを使用している場合は、ディレクトリの ID を選択し、グループの名前の一部または全部を入力して、[Search connected directory (接続されたディレクトリを検索)] を選択します。次に、AWS Cloud9 アクセス許可を割り当てたいグループの名前の横にあるボックスを選択します。

    注記

    個々のユーザーではなくグループに AWS Cloud9 アクセス許可を割り当てることをお勧めします。この AWS セキュリティのベストプラクティスによって、AWS リソースへのアクセスの問題の管理、追跡、およびトラブルシューティングがやりやすくなります。

14. [Next: Permissions sets (次へ: アクセス許可セット)] を選択します。

15. このグループに割り当てたいアクセス許可セットの名前の横にあるボックスを選択します。例えば、AWS Cloud9管理者グループの場合は、［AWSCloud9AdministratorsPerms］。(アクセス許可セット自体を選択しないでください)

16. [Finish] (終了) を選択します。

17. [AWS アカウントに進む] を選択します。

18. 組織全体で AWS アカウントに割り当てるその他の AWS Cloud9 アクセス許可について、この手順のステップ 11 から 17 を繰り返します。

ステップ 7: AWS Cloud9 の使用をスタートする

このトピックの前のステップを完了すると、管理者とユーザーが AWS SSO にサインインし、AWS Cloud9 の使用を開始できるようになります。

1. すでに AWS アカウントまたは AWS SSO にサインインしている場合は、サインアウトしてください。これを行うには、AWS Support ウェブサイトの「自分の AWS アカウントからサインアウトする方法」またはAWS Single Sign-On ユーザーガイドの「ユーザーポータルからサインアウトする方法を参照してください。

2. AWS SSO にサインインするにはAWSSingle Sign-On ユーザーガイドの「AWS SSO参加への招待を受け入れる方法」の指示に従ってください。これには、固有のサインイン URL にアクセスして固有のユーザー名とパスワードでサインインすることが含まれます。AWS アカウント管理者がこの情報を E メールで送信するか、そうでなければ提供します。

   注記

   後で簡単にアクセスできるように、提供された固有のサインイン URL を必ずブックマークしてください。また、この URL の一意のユーザー名とパスワードを安全な場所に保管してください。

   この URL、ユーザー名、およびパスワードの組み合わせは、AWS アカウント管理者から付与されるさまざまなレベルの AWS Cloud9 アクセス許可によって異なります。たとえば、1 つのアカウントへの AWS Cloud9 管理者アクセスを許可するために 1 つの URL、ユーザー名、およびパスワードを使用し、異なるアカウントへの AWS Cloud9 ユーザーのみのアクセスを許可する別の URL、ユーザー名、およびパスワードを使用できます。

3. AWS SSO にサインインしたら、[AWS アカウント] タイルを選択します。

4. 表示されたドロップダウンリストからユーザーの表示名を選択します。複数の名前が表示されている場合は、AWS Cloud9 の使用を開始する名前を選択します。どちらの名前を選択するべきかわからない場合は、AWS アカウント管理者にお問い合わせください。

5. ユーザーの表示名の横にある [管理コンソール] リンクを選択します。複数の [管理コンソール] リンクが表示されている場合は、正しいアクセス許可セットの横にあるリンクを選択してください。どのリンクを選択するべきかわからない場合は、AWS アカウント管理者にお問い合わせください。

6. [AWS Management Console] から、次のいずれかを実行します。

   • すでに表示されている場合は、［Cloud9］を選択します。

   • ［すべてのサービス］を展開し、［Cloud9］を選択します。

   • ［Find services (サービスの検索)］ボックスに、「Cloud9」と入力し、Enter を押します。

   • AWS ナビゲーションバーで [サービス]、[Cloud9] の順に選択します。

AWS Cloud9 コンソールが表示されたら、AWS Cloud9 の使用を開始できます。

次のステップ

Task	次のトピックを参照
AWS Cloud9 開発環境を作成し、AWS Cloud9 IDE を使用して、新しい環境でコードを操作します。	環境を作成する
AWS Cloud9 IDE を使用する方法について説明します。	開始方法: ベーシックチュートリアルおよび IDE の使用
リアルタイムで次のチャットサポートを使用し、他のユーザーを招待して一緒に新しい環境を使用します。	共有環境を使用する