AWS Cloud9 のチーム設定 - AWS Cloud9

AWS Cloud9 のチーム設定

このトピックでは、AWS IAM Identity Center (successor to AWS Single Sign-On) を使用して、単一の AWS アカウント 内の複数のユーザーが AWS Cloud9 を使用できるようにする方法について説明します。他の使用パターンで AWS Cloud9 を使用するためのセットアップについては、「AWS Cloud9 の設定」で正しい手順を参照してください。

これらの手順では、単一の AWS アカウント への管理アクセスを持っているか、またはこれから取得することを前提としています。詳細については、「IAM ユーザーガイド」の「AWS アカウント ルートユーザー」および「最初の管理者ユーザーおよびグループの作成」を参照してください。AWS アカウント は既にあるが、このアカウントへの管理アクセスを持っていない場合は、AWS アカウント 管理者にお問い合わせください。

注記

IAM の代わりに IAM Identity Center を使用して、単一の AWS アカウント 内の複数ユーザーが AWS Cloud9 を使用できるようにすることができます。この使用パターンでは、この単一の AWS アカウント が AWS Organizations で組織の管理アカウントとして機能します。さらに、その組織にはメンバーアカウントがありません。IAM Identity Center を使用するには、このトピックをスキップして、代わりに「エンタープライズセットアップ」の指示に従ってください。関連情報については、以下のリソースを参照してください。

複数のユーザーが単一の AWS アカウント で AWS Cloud9 の使用を開始できるようにするには、手元にある AWS リソース向けのステップを開始してください。

AWS アカウントをお持ちですか。 そのアカウントには、少なくとも 1 つ以上の IAM グループおよびユーザーがありますか。 このステップから開始します

いいえ

ステップ 1: AWS アカウント にサインアップする

はい

いいえ

ステップ 2: IAM グループとユーザーを作成し、ユーザーをグループに追加する

はい

はい

ステップ 3: グループに AWS Cloud9 アクセス許可を追加する

AWS アカウントにサインアップする

以下がない場合は、以下のステップを実行して AWS アカウント を作成します。

AWS アカウント にサインアップするには
  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて検証コードを入力するように求められます。

    AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、管理ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS のサインアップ処理が完了すると、ユーザーに確認メールが送信されます。https://aws.amazon.com/[My Account] (アカウント) をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理ユーザーを作成する

AWS アカウント にサインアップした後、日常的なタスクにルートユーザーを使用しないように、管理ユーザーを作成します。

AWS アカウントのルートユーザー をセキュリティで保護する
  1. [ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「ルートユーザーとしてサインインする」を参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、IAM ユーザーガイドの「AWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

管理ユーザーを作成する
  • 日常的な管理タスクのためには、AWS IAM Identity Center (successor to AWS Single Sign-On) の管理ユーザーに管理アクセスを割り当てます。

    手順については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドの「開始方法」を参照してください。

管理ユーザーとしてサインインする
  • IAM Identity Center ユーザーとしてサインインするには、IAM Identity Center ユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「AWS アクセスポータルにサインインする」を参照してください。

ステップ 2: IAM グループとユーザーを作成し、ユーザーをグループに追加する

このステップでは、AWS Identity and Access Management (IAM) でグループとユーザーを作成し、ユーザーをグループに追加してから、このユーザーを使用して AWS Cloud9 にアクセスします。これは AWS セキュリティのベストプラクティスです。詳細については、IAM ユーザーガイドの「IAM のベストプラクティス」を参照してください。

すべての必要な IAM グループとユーザーが既にある場合は、「ステップ 3: グループに AWS Cloud9 アクセス許可を追加する」に進みます。

注記

組織で IAM グループとユーザーを設定済みである場合があります。組織に AWS アカウント 管理者がいる場合は、次の手順を開始する前に、その担当者に確認してください。

これらのタスクは、AWS Management Console または AWS コマンドラインインターフェイス (AWS CLI) を使って完了できます。

次のコンソールの手順に関する 9 分間の動画をご覧になるには、YouTube で「IAM ユーザーの設定とIAM 認証情報を使用して AWS Management Console にサインインする方法」を参照してください。

ステップ 2.1: コンソールで IAM グループを作成する

  1. AWS Management Console (https://console.aws.amazon.com/codecommit) にサインインします (まだサインインしていない場合)。

    注記

    AWS アカウント の作成時に指定したメールアドレスとパスワードを使用して、AWS Management Console にサインインできます。これはルートユーザーとしての署名と呼ばれます。ただし、これは AWS のセキュリティのベストプラクティスではありません。今後は、AWS アカウントの管理者ユーザーの認証情報を使用してサインインすることをお勧めします。管理者ユーザーは、AWS アカウント ルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。AWS アカウント 管理者としてサインインできない場合は、AWS アカウント 管理者に確認してください。詳細については、IAM ユーザーガイドの「最初の IAM ユーザーおよびグループの作成」を参照してください。

  2. IAM コンソールを開きます。これを行うには、AWS ナビゲーションバーで、[サービス]を選択します。次に、[IAM]を選択します。

  3. IAM コンソールのナビゲーションペインで、[グループ]を選択します。

  4. Create New Group (新しいグループの作成)]を選択します。

  5. グループ名の設定]ページで、[グループ名]に新しいグループの名前を入力します。

  6. Next Step](次のステップ) をクリックします。

  7. ポリシーのアタッチ]ページで、ポリシーをアタッチせずに[次のステップ]を選択します。「ステップ 3: グループに AWS Cloud9 アクセス許可を追加する」でポリシーをアタッチします。

  8. Create Group]を選択します。

    注記

    この手順を繰り返して 2 つ以上のグループ (AWS Cloud9 ユーザー用のグループと AWS Cloud9 管理者用のグループ) を作成することをお勧めします。この AWS セキュリティのベストプラクティスによって、AWS リソースへのアクセスの問題の管理、追跡、およびトラブルシューティングがやりやすくなります。

ステップ 2.2: IAM ユーザーを作成して、コンソールでグループにユーザーを追加する」に進みます。

ステップ 2.1: AWS CLI で IAM グループを作成する

注記

AWS マネージド一時認証情報 を使用している場合は、AWS Cloud9 IDE のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。AWS のセキュリティに関するベストプラクティスに対応するため、AWS マネージド一時認証情報は一部のコマンドの実行を許可しません。代わりに、AWS Command Line Interface (AWS CLI) の別のインストールから、これらのコマンドを実行できます。

  1. AWS CLI をコンピュータにインストールして設定します (まだしていない場合)。これを行うには、AWS Command Line Interface ユーザーガイドで以下の項目を参照してください。

    注記

    AWS CLI は、AWS アカウント の作成時に提供された E メールアドレスとパスワードに関連付けられている認証情報を使用して設定できます。これはルートユーザーとしての署名と呼ばれます。ただし、これは AWS のセキュリティのベストプラクティスではありません。代わりに、AWS アカウントで IAM 管理者ユーザーの認証情報を使用する AWS CLI の設定をお勧めします。IAM 管理者ユーザーは、AWS のルートユーザーと同様の AWS アカウント アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。IAM 管理者ユーザーとして AWS CLI を設定できない場合は、AWS アカウント の管理者にチェックしてください。詳細については、IAM ユーザーガイドの「最初の IAM 管理者ユーザーおよびグループの作成」を参照してください。

  2. IAM create-group コマンドを実行して新しいグループの名前 (例: MyCloud9Group) を指定します。

    aws iam create-group --group-name MyCloud9Group
    注記

    この手順を繰り返して 2 つ以上のグループ (AWS Cloud9 ユーザー用のグループと AWS Cloud9 管理者用のグループ) を作成することをお勧めします。この AWS セキュリティのベストプラクティスによって、AWS リソースへのアクセスの問題の管理、追跡、およびトラブルシューティングがやりやすくなります。

ステップ 2.2: IAM ユーザーを作成して、AWS CLI でグループにユーザーを追加する」に進みます。

ステップ 2.2: IAM ユーザーを作成して、コンソールでグループにユーザーを追加する

  1. 前の手順で開いた IAM コンソールで、ナビゲーションペインの[ユーザー]を選択します。

  2. ユーザーを追加]を選択します。

  3. ユーザー名]に新しいユーザーの名前を入力します。

    注記

    別のユーザーの追加]を選択することで、複数のユーザーを同時に作成できます。この手順のその他の設定は、これらの新しいユーザーのそれぞれに適用されます。

  4. プログラムによるアクセス]と[AWS Management Consoleアクセス]チェックボックスを選択します。これにより、新しいユーザーがさまざまな AWS デベロッパー用ツールとサービスコンソールを使用できるようになります。

  5. Autogenerated password (自動生成パスワード)]のデフォルトの選択を維持します。これにより、新しいユーザーがコンソールにサインインするためのパスワードがランダムに作成されます。または、[Custom password] (カスタムパスワード) を選択して、新しいユーザー用のパスワードを入力します。

  6. パスワードのリセットが必要]のデフォルトの選択を維持します。このメッセージは、コンソールに初回サインインした後にパスワードを変更することを、新しいユーザーに促すものです。

  7. Next: Permissions (次へ: アクセス許可)]を選択します。

  8. グループにユーザーを追加](複数のユーザーの場合も[グループにユーザーを追加]) をデフォルトの選択のままにしておきます。

  9. グループのリストで、ユーザーを追加するグループの横にあるチェックボックス (名前ではなく) を選択します。

  10. [Next: Review (次へ: レビュー)]を選択します。

  11. [Create user] を選択します。または、複数のユーザーに [Create users] (ユーザーを作成) します。

  12. ウィザードの最後のページで、次のいずれかの操作を行います。

    • 新しいユーザーの横にある[E メールの送信]を選択し、画面の指示に従って新しいユーザーにコンソールのサインイン URL とユーザー名を E メールで送信します。その後、新しいユーザーにそれぞれのコンソールサインインパスワード、AWS アクセスキー ID、AWS シークレットアクセスキーを個別に通知します。

    • .csv のダウンロード]を選択します。次に、新しいユーザーそれぞれに、コンソールのサインイン URL、コンソールサインインパスワード、AWS アクセスキー ID、ダウンロードしたファイルにある AWS シークレットアクセスキーを連絡します。

    • それぞれの新しいユーザーの横で、[シークレットアクセスキー]と[パスワード]の両方で[表示]を選択します。次に、新しいユーザーそれぞれに、コンソールのサインイン URL、コンソールサインインパスワード、AWS アクセスキー ID、AWS シークレットアクセスキーを連絡します。

    注記

    [.csv のダウンロード] (Download .csv) を選択しない場合、これが新しいユーザーの AWS シークレットアクセスキーとコンソールサインインパスワードを表示できる唯一の機会となります。新しいユーザーの新しい AWS シークレットアクセスキーまたはコンソールサインインパスワードを生成するには、IAM ユーザーガイドの次のセクションを参照してください。

  13. 作成したい追加の各 IAM ユーザーにこの手順を繰り返したら、「ステップ 3: グループに AWS Cloud9 アクセス許可を追加する」に進みます。

ステップ 2.2: ユーザーを作成して、AWS CLI でグループにユーザーを追加する

注記

AWS マネージド一時認証情報 を使用している場合は、AWS Cloud9 IDE のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。AWS のセキュリティに関するベストプラクティスに対応するため、AWS マネージド一時認証情報は一部のコマンドの実行を許可しません。代わりに、AWS Command Line Interface (AWS CLI) の別のインストールから、これらのコマンドを実行できます。

  1. IAM create-user コマンドを実行してユーザーを作成し、新しいユーザーの名前 (例: MyCloud9User) を指定します。

    aws iam create-user --user-name MyCloud9User
  2. IAM create-login-profile コマンドを実行して新しいコンソールにサインインするユーザーのパスワードを作成し、ユーザー名と最初のサインインパスワードを指定します (例: MyC10ud9Us3r!)。ユーザーがサインインしたら、AWS は サインインパスワードの変更をユーザーに依頼します。

    aws iam create-login-profile --user-name MyCloud9User --password MyC10ud9Us3r! --password-reset-required

    後でユーザーのために交換用コンソールのサインインパスワードを生成する必要がある場合は、IAM ユーザーガイドの「IAM ユーザーパスワードの作成、変更、削除 (API、CLI、PowerShell)」を参照してください。

  3. IAM create-access-key コマンドを実行して、ユーザーに新しい AWS アクセスキーと対応する AWS シークレットアクセスキーを作成します。

    aws iam create-access-key --user-name MyCloud9User

    表示されている[AccessKeyId]と[SecretAccessKey]の値をメモします。IAM create-access-key コマンドを実行した後は、ユーザーの AWS シークレットアクセスキーを表示できる唯一の機会です。後でユーザーに新しい AWS シークレットアクセスキーを生成する必要がある場合は、IAM ユーザーガイドの「アクセスキーの作成、修正、および表示 (API、CLI、PowerShell)」を参照してください。

  4. IAM add-user-to-group コマンドを実行してユーザーをグループに追加し、グループおよびユーザーの名前を指定します。

    aws iam add-user-to-group --group-name MyCloud9Group --user-name MyCloud9User
  5. ユーザーに、コンソールのサインイン URL、初期コンソールサインインパスワード、AWS アクセスキー ID、AWS シークレットアクセスキーを連絡します。

  6. 作成したい追加 IAM ユーザーそれぞれにこの手順を繰り返します。

ステップ 3: グループに AWS Cloud9 アクセス許可を追加する

デフォルトでは、ほとんどの IIAM グループおよびユーザーは、AWS Cloud9 を含むあらゆる AWS のサービス にアクセスできません。(ただし、AWS アカウント ですべての AWS のサービス にデフォルトでアクセスできる IAM 管理者グループと IAM 管理者ユーザーは例外です。) このステップでは、IAM を使用して 1 人以上のユーザーが属している IAM グループへの AWS Cloud9 アクセス許可を直接追加します。これにより、それらのユーザーが AWS Cloud9 にアクセスできるようになります。

注記

組織では、適切なアクセス許可を持つグループを設定済みである場合があります。組織に AWS アカウント 管理者がいる場合は、次の手順を開始する前に、その担当者に確認してください。

AWS Management ConsoleまたはAWSCLIを使ってこのタスクを完成できます。

コンソールで AWS Cloud9 アクセス許可をグループに追加する

  1. AWS Management Console (https://console.aws.amazon.com/codecommit) にサインインします (まだサインインしていない場合)。

    注記

    AWS アカウント の作成時に指定したメールアドレスとパスワードを使用して、AWS Management Console にサインインできます。これはルートユーザーとしての署名と呼ばれます。ただし、これは AWS のセキュリティのベストプラクティスではありません。今後は、AWS アカウント の IAM 管理者ユーザーの認証情報を使用してサインインすることをお勧めします。管理者ユーザーは、AWS アカウント ルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。AWS アカウント 管理者としてサインインできない場合は、 管理者に確認してください。詳細については、IAM ユーザーガイドの「最初の IAM 管理者ユーザーおよびグループの作成」を参照してください。

  2. IAM コンソールを開きます。これを行うには、AWS ナビゲーションバーで、[サービス]を選択します。次に、[IAM] を選択します。

  3. グループ]を選択します。

  4. グループの名前を選択します。

  5. AWS Cloud9 ユーザーまたは AWS Cloud9 管理者のアクセス許可をグループに追加するかどうかを決定します。これらのアクセス許可は、グループ内の各ユーザーに適用されます。

    AWS Cloud9 ユーザーのアクセス許可により、グループ内の各ユーザーは AWS アカウント 内で以下のことを実行できます。

    • 独自の AWS Cloud9 開発環境を作成する。

    • 独自の環境に関する情報を取得する。

    • 自分の環境設定を変更する。

    AWS Cloud9 管理者のアクセス許可により、グループ内の各ユーザーは AWS アカウント 内で、さらに次のことを実行できます。

    • 自分自身または他のユーザーの環境を作成する。

    • 自分自身または他のユーザーの環境に関する情報を取得する。

    • 自分自身または他のユーザーの環境を削除する。

    • 自分自身または他のユーザーの環境の設定を変更する。

    注記

    AWS Cloud9 管理者グループには、限定した数のユーザーのみ追加するようお勧めします。この AWS セキュリティのベストプラクティスによって、AWS リソースへのアクセスの問題の管理、追跡、およびトラブルシューティングがやりやすくなります。

  6. アクセス許可]タブの[マネージドポリシー]で[ポリシーのアタッチ]を選択します。

  7. ポリシー名のリストで、 ユーザーアクセス許可の[AWSCloud9UserAWS Cloud9]、または 管理者アクセス許可の[AWSCloud9AdministratorAWS Cloud9]の横にあるボックスを選択します。どちらのポリシー名もリストに表示されない場合は、[Filter] (フィルター) ボックスにポリシー名を入力して表示させます。

  8. Attach Policy]を選択します。

    注記

    AWS Cloud9 アクセス許可を追加するグループが複数ある場合は、グループごとにこの手順を繰り返します。

これらの AWS マネージドポリシーがグループに付与するアクセス許可のリストを表示するには、「AWS マネージド(事前定義) ポリシー」を参照してください。

AWS Cloud9 によって求められるアクセス許可のみならず、グループに追加する AWS アクセス許可の詳細は、IAM ユーザーガイド の「マネージドポリシーとインラインポリシー」および「ポリシーによって付与される許可の理解」を参照してください。

ステップ 4: AWS Cloud9 コンソールにサインインする」に進みます。

AWS CLI でグループに AWS Cloud9 アクセス許可を追加する

注記

AWS マネージド一時認証情報 を使用している場合は、AWS Cloud9 IDE のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。AWS のセキュリティに関するベストプラクティスに対応するため、AWS マネージド一時認証情報は一部のコマンドの実行を許可しません。代わりに、AWS Command Line Interface (AWS CLI) の別のインストールから、これらのコマンドを実行できます。

  1. AWS CLI をコンピュータにインストールして設定します (まだしていない場合)。これを行うには、AWS Command Line Interface ユーザーガイドで以下の項目を参照してください。

    注記

    AWS CLI は、AWS アカウント の作成時に提供された E メールアドレスとパスワードに関連付けられている認証情報を使用して設定できます。これはルートユーザーとしての署名と呼ばれます。ただし、これは AWS のセキュリティのベストプラクティスではありません。代わりに、AWS アカウント IAM 管理者ユーザーの認証情報を使用する AWS CLI の設定をお勧めします。IAM 管理者ユーザーは、AWS のルートユーザーと同様の AWS アカウント アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。管理者ユーザーとして AWS CLI を設定できない場合は、AWS アカウント 管理者に確認してください。詳細については、IAM ユーザーガイドの「最初の IAM 管理者ユーザーおよびグループの作成」を参照してください。

  2. AWS Cloud9 ユーザーまたは AWS Cloud9 管理者のアクセス許可をグループに追加するかどうかを決定します。これらのアクセス許可は、グループ内の各ユーザーに適用されます。

    AWS Cloud9 ユーザーのアクセス許可により、グループ内の各ユーザーは AWS アカウント 内で以下のことを実行できます。

    • 独自の AWS Cloud9 開発環境を作成する。

    • 独自の環境に関する情報を取得する。

    • 自分の環境設定を変更する。

    AWS Cloud9 管理者のアクセス許可により、グループ内の各ユーザーは AWS アカウント 内で、さらに次のことを実行できます。

    • 自分自身または他のユーザーの環境を作成する。

    • 自分自身または他のユーザーの環境に関する情報を取得する。

    • 自分自身または他のユーザーの環境を削除する。

    • 自分自身または他のユーザーの環境の設定を変更する。

    注記

    AWS Cloud9 管理者グループには、限定した数のユーザーのみ追加するようお勧めします。この AWS セキュリティのベストプラクティスによって、AWS リソースへのアクセスの問題の管理、追跡、およびトラブルシューティングがやりやすくなります。

  3. IAM attach-group-policy コマンドを実行し、AWS Cloud9 アクセス許可ポリシーで追加するグループの名前と Amazon リソースネーム (ARN) を指定します。

    AWS Cloud9 ユーザーアクセス許可の場合は、次の ARN を指定します。

    aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9User

    AWS Cloud9 管理者アクセス許可の場合は、次の ARN を指定します。

    aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9Administrator
    注記

    AWS Cloud9 アクセス許可を追加するグループが複数ある場合は、グループごとにこの手順を繰り返します。

これらの AWS マネージドポリシーがグループに付与するアクセス許可のリストを表示するには、「AWS マネージド (事前定義) ポリシー」を参照してください。

AWS Cloud9 によって求められるアクセス許可のみならず、グループに追加する AWS アクセス許可の詳細は、IAM ユーザーガイド の「マネージドポリシーとインラインポリシー」および「ポリシーによって付与される許可の理解」を参照してください。

ステップ 4: AWS Cloud9 コンソールにサインインする

このトピックの前のステップを完了すると、管理者とユーザーが AWS Cloud9 コンソールにサインインできるようになります。

  1. AWS アカウント ルートユーザーとしてすでに AWS Management Console にサインインしている場合は、コンソールからサインアウトします。

  2. AWS Cloud9 コンソール (https://console.aws.amazon.com/cloud9/) を開きます。

  3. 先ほど作成または識別した IAM ユーザーの AWS アカウント 番号を入力して、[Next] (次へ) を選択します。

    注記

    AWS アカウント番号を入力するオプションが表示されない場合は、[別のアカウントにサインインする]を選択します。次のページで AWS アカウント を入力し、[Next] (次へ) を選択します。

  4. 先ほど作成または識別した IAM ユーザーのサインイン認証情報を入力し、[Sign In] (サインイン) を選択します。

  5. プロンプトが表示されたら、画面の指示に従って、ユーザーの最初のサインインパスワードを変更します。新しいサインインパスワードを安全な場所に保存します。

AWS Cloud9 コンソールが表示され、AWS Cloud9 の使用を開始できます。

次のステップ

タスク 次のトピックを参照

AWS アカウント の他のユーザーによる AWS Cloud9 の使用を制限し、コストをコントロールします。

追加のセットアップオプション

AWS Cloud9 開発環境を作成し、AWS Cloud9 IDE を使用して、新しい環境でコードを操作します。

環境を作成する

AWS Cloud9 IDE を使用する方法について説明します。

開始方法: ベーシックチュートリアル および IDE を操作する

リアルタイムでチャットサポートを使用し、他のユーザーを招待して一緒に新しい環境 を使用します。

共有環境を使用する