AWS Cloud9 のチーム設定 - AWS Cloud9

AWS Cloud9 のチーム設定

このトピックでは、AWS IAM Identity Center (successor to AWS Single Sign-On) を使用して、単一の AWS アカウント内の複数のユーザーが AWS Cloud9 を使用できるようにする方法について説明します。他の使用パターンで AWS Cloud9 を使用するためのセットアップについては、「AWS Cloud9 のセットアップ」で正しい手順を参照してください。

これらの手順では、単一の AWS アカウントへの管理アクセスを持っていること (またはこれから取得すること) を前提としています。詳細については、IAM ユーザーガイドの「AWS アカウントルートユーザー」および「最初の IAM 管理者ユーザーおよびグループの作成」を参照してください。AWS アカウントは既にあるが、このアカウントへの管理アクセスを持っていない場合は、AWS アカウント管理者にお問い合わせください。

注記

IAM の代わりに IAM Identity Center を使用して、単一の AWS アカウント内の複数ユーザーが AWS Cloud9 を使用できるようにすることができます。この使用パターンでは、この単一の AWS アカウントが AWS Organizations で組織の管理アカウントとして機能します。この組織にはメンバーアカウントがありません。IAM Identity Center を使用するには、このトピックをスキップして、代わりに「エンタープライズセットアップ」の指示に従ってください。関連情報については、以下のリソースを参照してください。

単一の AWS アカウント内の複数のユーザーが AWS Cloud9 の使用を開始できるようにするには、既に使用している AWS リソースに応じて、次のいずれかのステップから始めます。

AWS アカウントをお持ちですか。 そのアカウントには、少なくとも 1 つ以上の IAM グループおよびユーザーがありますか。 このステップから開始します

いいえ

ステップ 1: AWS アカウントを作成する

はい

いいえ

ステップ 2: IAM グループとユーザーを作成し、ユーザーをグループに追加する

はい

はい

ステップ 3: グループに AWS Cloud9 アクセス許可を追加する

ステップ 1: AWS アカウントを作成する

注記

組織で AWS アカウントが設定済みである場合があります。組織に AWS アカウント管理者がいる場合は、次の手順を開始する前に、その担当者に確認してください。AWS アカウントを既にお持ちの場合は、「ステップ 2: IAM グループとユーザーを作成し、ユーザーをグループに追加する」に進みます。

次の手順に関連した 4 分間のビデオをご覧になるには、YouTube ウェブサイトの「Creating an Amazon Web Services Account」を参照してください。

AWS アカウントを作成するには

  1. https://aws.amazon.com/ にアクセスします。

  2. コンソールにサインインする]を選択します。

  3. 新しい AWS アカウントの作成]を選択します。

  4. 画面上の指示に従ってプロセスを完了します。この中で、AWS に E メールアドレスとクレジットカード情報を提供します。また、AWS が提供するコードを入力するために電話を使用する必要があります。

アカウントの作成が完了すると、AWS から確認メールが送信されます。この確認が完了するまで、次のステップに進まないでください。

ステップ 2: IAM グループとユーザーを作成し、ユーザーをグループに追加する

このステップでは、AWS Identity and Access Management (IAM) でグループとユーザーを作成し、ユーザーをグループに追加してから、このユーザーを使用して AWS Cloud9 にアクセスします。これは AWS セキュリティのベストプラクティスです。詳細については、IAM ユーザーガイドの「IAM のベストプラクティス」を参照してください。

すべての必要な IAM グループとユーザーが既にある場合は、「ステップ 3: グループに AWS Cloud9 アクセス許可を追加する」に進みます。

注記

組織で IAM グループとユーザーを設定済みである場合があります。組織に AWS アカウント管理者がいる場合は、次の手順を開始する前に、その担当者に確認してください。

これらのタスクは、AWS Management Console または AWS コマンドラインインターフェイス (AWS CLI) を使って完了できます。

次のコンソールの手順に関する 9 分間の動画をご覧になるには、YouTube ウェブサイトで IAM ユーザーの設定とIAM 認証情報を使用して AWS Management Console にサインインする方法を参照してください。

ステップ 2.1: コンソールで IAM グループを作成する

  1. AWS Management Console にサインインします (https://console.aws.amazon.com/codecommit) (まだサインインしていない場合)。

    注記

    AWS アカウントの作成時に指定した E メールアドレスとパスワード (これを AWS アカウントのルートユーザーと呼びます) を使用して AWS Management Console にサインインできますが、これは AWS セキュリティのベストプラクティスではありません。今後は、AWS アカウントの IAM 管理者ユーザーの認証情報を使用してサインインすることをお勧めします。IAM 管理者ユーザーは、AWS アカウントのルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。IAM 管理者ユーザーとしてサインインできない場合は、AWS アカウントの管理者にチェックしてください。詳細については、IAM ユーザーガイドの「最初の IAM 管理者ユーザーおよびグループの作成」を参照してください。

  2. IAM コンソールを開きます。これを行うには、AWS ナビゲーションバーで、[サービス]を選択します。次に、[IAM]を選択します。

  3. IAM コンソールのナビゲーションペインで、[グループ]を選択します。

  4. Create New Group (新しいグループの作成)]を選択します。

  5. グループ名の設定]ページで、[グループ名]に新しいグループの名前を入力します。

  6. Next Step](次のステップ) をクリックします。

  7. ポリシーのアタッチ]ページで、ポリシーをアタッチせずに[次のステップ]を選択します。(「ステップ 3: グループに AWS Cloud9 アクセス許可を追加する」にポリシーを添付します。)

  8. Create Group]を選択します。

    注記

    この手順を繰り返して 2 つ以上のグループ (AWS Cloud9 ユーザー用のグループと AWS Cloud9 管理者用のグループ) を作成することをお勧めします。この AWS セキュリティのベストプラクティスによって、AWS リソースへのアクセスの問題の管理、追跡、およびトラブルシューティングがやりやすくなります。

ステップ 2.2: IAM ユーザーを作成して、コンソールでグループにユーザーを追加する」に進みます。

ステップ 2.1: AWS CLI で IAM グループを作成する

注記

AWS マネージド一時認証情報 を使用している場合は、AWS Cloud9 IDE のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。AWS のセキュリティに関するベストプラクティスに対応するため、AWS マネージド一時認証情報は一部のコマンドを実行する許可を与えません。代わりに、AWS Command Line Interface (AWS CLI) の別のインストールから、これらのコマンドを実行できます。

  1. AWS CLI をコンピュータにインストールして設定します (まだしていない場合)。これを行うには、AWS Command Line Interface ユーザーガイドで以下の項目を参照してください。

    注記

    AWS アカウントの作成時に指定した E メールアドレスとパスワードに関連付けられた認証情報 (これをAWS アカウントのルートユーザーと呼びます) を使用して AWS CLI を設定できますが、これは AWS セキュリティのベストプラクティスではありません。代わりに、AWS アカウントで IAM 管理者ユーザーの認証情報を使用する AWS CLI の設定をお勧めします。IAM 管理者ユーザーは、AWS アカウントのルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。IAM 管理者ユーザーとして AWS CLI を設定できない場合は、AWS アカウントの管理者にチェックしてください。詳細については、IAM ユーザーガイドの「最初の IAM 管理者ユーザーおよびグループの作成」を参照してください。

  2. IAM create-group コマンドを実行して新しいグループの名前 (例: MyCloud9Group) を指定します。

    aws iam create-group --group-name MyCloud9Group
    注記

    この手順を繰り返して 2 つ以上のグループ (AWS Cloud9 ユーザー用のグループと AWS Cloud9 管理者用のグループ) を作成することをお勧めします。この AWS セキュリティのベストプラクティスによって、AWS リソースへのアクセスの問題の管理、追跡、およびトラブルシューティングがやりやすくなります。

ステップ 2.2: IAM ユーザーを作成して、AWS CLI でグループにユーザーを追加する」に進みます。

ステップ 2.2: IAM ユーザーを作成して、コンソールでグループにユーザーを追加する

  1. 前の手順で開いた IAM コンソールで、ナビゲーションペインの[ユーザー]を選択します。

  2. ユーザーを追加]を選択します。

  3. ユーザー名]に新しいユーザーの名前を入力します。

    注記

    別のユーザーの追加]を選択することで、複数のユーザーを同時に作成できます。この手順のその他の設定は、これらの新しいユーザーのそれぞれに適用されます。

  4. プログラムによるアクセス]と[AWS Management Consoleアクセス]チェックボックスを選択します。これにより、新しいユーザーがさまざまな AWS デベロッパー用ツールとサービスコンソールを使用できるようになります。

  5. Autogenerated password (自動生成パスワード)]のデフォルトの選択を維持します。これにより、新しいユーザーがコンソールにサインインするためのパスワードがランダムに作成されます。または、[カスタムパスワード]を選択して、新しいユーザー用のパスワードを入力します。

  6. パスワードのリセットが必要]のデフォルトの選択を維持します。このメッセージは、コンソールに初回サインインした後にパスワードを変更することを、新しいユーザーに促すものです。

  7. Next: Permissions (次へ: アクセス許可)]を選択します。

  8. グループにユーザーを追加](複数のユーザーの場合も[グループにユーザーを追加]) をデフォルトの選択のままにしておきます。

  9. グループのリストで、ユーザーを追加するグループの横にあるチェックボックス (名前ではなく) を選択します。

  10. [Next: Review (次へ: レビュー)]を選択します。

  11. ユーザーの作成](複数のユーザーの場合も[ユーザーの作成]) を選択します。

  12. ウィザードの最後のページで、次のいずれかの操作を行います。

    • 新しいユーザーの横にある[E メールの送信]を選択し、画面の指示に従って新しいユーザーにコンソールのサインイン URL とユーザー名を E メールで送信します。その後、新しいユーザーにそれぞれのコンソールサインインパスワード、AWS アクセスキー ID、AWS シークレットアクセスキーを個別に通知します。

    • .csv のダウンロード]を選択します。次に、新しいユーザーそれぞれに、コンソールのサインイン URL、コンソールサインインパスワード、AWS アクセスキー ID、ダウンロードしたファイルにある AWS シークレットアクセスキーを連絡します。

    • それぞれの新しいユーザーの横で、[シークレットアクセスキー]と[パスワード]の両方で[表示]を選択します。次に、新しいユーザーそれぞれに、コンソールのサインイン URL、コンソールサインインパスワード、AWS アクセスキー ID、AWS シークレットアクセスキーを連絡します。

    注記

    .csv のダウンロード]を選択しない場合、これが新しいユーザーの AWS シークレットアクセスキーとコンソールサインインパスワードを表示できる唯一の機会となります。新しいユーザーの新しい AWS シークレットアクセスキーまたはコンソールサインインパスワードを生成するには、IAM ユーザーガイドの次のセクションを参照してください。

  13. 作成したい追加の各 IAM ユーザーにこの手順を繰り返したら、「ステップ 3: グループに AWS Cloud9 アクセス許可を追加する」に進みます。

ステップ 2.2: ユーザーを作成して、AWS CLI でグループにユーザーを追加する

注記

AWS マネージド一時認証情報 を使用している場合は、AWS Cloud9 IDE のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。AWS のセキュリティに関するベストプラクティスに対応するため、AWS マネージド一時認証情報は一部のコマンドを実行する許可を与えません。代わりに、AWS Command Line Interface (AWS CLI) の別のインストールから、これらのコマンドを実行できます。

  1. IAM create-user コマンドを実行してユーザーを作成し、新しいユーザーの名前 (例: MyCloud9User) を指定します。

    aws iam create-user --user-name MyCloud9User
  2. IAM create-login-profile コマンドを実行して新しいコンソールにサインインするユーザーのパスワードを作成し、ユーザー名と最初のサインインパスワードを指定します (例: MyC10ud9Us3r!)。ユーザーがサインインしたら、AWS は サインインパスワードの変更をユーザーに依頼します。

    aws iam create-login-profile --user-name MyCloud9User --password MyC10ud9Us3r! --password-reset-required

    後でユーザーのために交換用コンソールのサインインパスワードを生成する必要がある場合は、IAM ユーザーガイドの「IAM ユーザーパスワードの作成、変更、削除 (API、CLI、PowerShell)」を参照してください。

  3. IAM create-access-key コマンドを実行して、ユーザーに新しい AWS アクセスキーと対応する AWS シークレットアクセスキーを作成します。

    aws iam create-access-key --user-name MyCloud9User

    表示されている[AccessKeyId]と[SecretAccessKey]の値をメモします。IAM create-access-key コマンドを実行した後は、ユーザーの AWS シークレットアクセスキーを表示できる唯一の機会です。後でユーザーに新しい AWS シークレットアクセスキーを生成する必要がある場合は、IAM ユーザーガイドの「アクセスキーの作成、修正、および表示 (API、CLI、PowerShell)」を参照してください。

  4. IAM add-user-to-group コマンドを実行してユーザーをグループに追加し、グループおよびユーザーの名前を指定します。

    aws iam add-user-to-group --group-name MyCloud9Group --user-name MyCloud9User
  5. ユーザーに、コンソールのサインイン URL、初期コンソールサインインパスワード、AWS アクセスキー ID、AWS シークレットアクセスキーを連絡します。

  6. 作成したい追加 IAM ユーザーそれぞれにこの手順を繰り返します。

ステップ 3: グループに AWS Cloud9 アクセス許可を追加する

デフォルトでは、ほとんどの IIAM グループおよびユーザーは、AWS Cloud9 を含むあらゆる AWS サービスにアクセスできません。(ただし、AWS アカウントですべての AWS サービスにデフォルトでアクセスできる IAM 管理者グループと IAM 管理者ユーザーは例外です。) このステップでは、IAM を使用して 1 人以上のユーザーが属している グループに AWS Cloud9 へのアクセス許可を直接追加します。これにより、各ユーザーが AWS Cloud9 にアクセスできます。

注記

組織では、適切なアクセス許可を持つグループを設定済みである場合があります。組織に AWS アカウント管理者がいる場合は、次の手順を開始する前に、その担当者に確認してください。

AWS Management ConsoleまたはAWSCLIを使ってこのタスクを完成できます。

コンソールで AWS Cloud9 アクセス許可をグループに追加する

  1. AWS Management Console (https://console.aws.amazon.com/codecommit) にサインインします (まだサインインしていない場合)。

    注記

    AWS アカウントの作成時に指定した E メールアドレスとパスワード (これを AWS アカウントのルートユーザーと呼びます) を使用して AWS Management Console にサインインできますが、これは AWS セキュリティのベストプラクティスではありません。今後は、AWS アカウントの IAM 管理者ユーザーの認証情報を使用してサインインすることをお勧めします。IAM 管理者ユーザーは、AWS アカウントのルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。IAM 管理者ユーザーとしてサインインできない場合は、AWS アカウントの管理者にチェックしてください。詳細については、IAM ユーザーガイドの「最初の IAM 管理者ユーザーおよびグループの作成」を参照してください。

  2. IAM コンソールを開きます。これを行うには、AWS ナビゲーションバーで、[サービス]を選択します。次に、[IAM]を選択します。

  3. グループ]を選択します。

  4. グループの名前を選択します。

  5. AWS Cloud9 ユーザーまたは AWS Cloud9 管理者のアクセス許可をグループに追加するかどうかを決定します。これらのアクセス許可は、グループ内の各ユーザーに適用されます。

    AWS Cloud9 ユーザーのアクセス許可により、グループ内の各ユーザーは AWS アカウント内で以下のことを実行できます。

    • 独自の AWS Cloud9 開発環境を作成する。

    • 独自の環境に関する情報を取得する。

    • 自分の環境設定を変更する。

    AWS Cloud9 管理者のアクセス許可により、グループ内の各ユーザーは AWS アカウント内で、さらに次のことを実行できます。

    • 自分自身または他のユーザーの環境を作成する。

    • 自分自身または他のユーザーの環境に関する情報を取得する。

    • 自分自身または他のユーザーの環境を削除する。

    • 自分自身または他のユーザーの環境の設定を変更する。

    注記

    AWS Cloud9 管理者グループには、限定した数のユーザーのみ追加するようお勧めします。この AWS セキュリティのベストプラクティスによって、AWS リソースへのアクセスの問題の管理、追跡、およびトラブルシューティングがやりやすくなります。

  6. アクセス許可]タブの[マネージドポリシー]で[ポリシーのアタッチ]を選択します。

  7. ポリシー名のリストで、 ユーザーアクセス許可の[AWSCloud9UserAWS Cloud9]、または 管理者アクセス許可の[AWSCloud9AdministratorAWS Cloud9]の横にあるボックスを選択します。(どちらのポリシー名もリストに表示されない場合は、[フィルター]ボックスにポリシー名を入力して表示させます)。

  8. Attach Policy]を選択します。

    注記

    AWS Cloud9 アクセス許可を追加するグループが複数ある場合は、グループごとにこの手順を繰り返します。

これらの AWS マネージドポリシーがグループに付与するアクセス許可のリストを表示するには、「AWS マネージド(事前定義) ポリシー」を参照してください。

AWS Cloud9 によって求められるアクセス許可のみならず、グループに追加する AWS アクセス許可の詳細は、IAM ユーザーガイド の「マネージドポリシーとインラインポリシー」および「ポリシーによって付与される許可の理解」を参照してください。

ステップ 4: AWS Cloud9 コンソールにサインインする」に進みます。

AWS CLI でグループに AWS Cloud9 アクセス許可を追加する

注記

AWS マネージド一時認証情報 を使用している場合は、AWS Cloud9 IDE のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。AWS のセキュリティに関するベストプラクティスに対応するため、AWS マネージド一時認証情報は一部のコマンドを実行する許可を与えません。代わりに、AWS Command Line Interface (AWS CLI) の別のインストールから、これらのコマンドを実行できます。

  1. AWS CLI をコンピュータにインストールして設定します (まだしていない場合)。これを行うには、AWS Command Line Interface ユーザーガイドで以下の項目を参照してください。

    注記

    AWS アカウントの作成時に指定した E メールアドレスとパスワードに関連付けられた認証情報 (これをAWS アカウントのルートユーザーと呼びます) を使用して AWS CLI を設定できますが、これは AWS セキュリティのベストプラクティスではありません。代わりに、AWS アカウントで IAM 管理者ユーザーの認証情報を使用する AWS CLI の設定をお勧めします。IAM 管理者ユーザーは、AWS アカウントのルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。IAM 管理者ユーザーとして AWS CLI を設定できない場合は、AWS アカウントの管理者にチェックしてください。詳細については、IAM ユーザーガイドの「最初の IAM 管理者ユーザーおよびグループの作成」を参照してください。

  2. AWS Cloud9 ユーザーまたは AWS Cloud9 管理者のアクセス許可をグループに追加するかどうかを決定します。これらのアクセス許可は、グループ内の各ユーザーに適用されます。

    AWS Cloud9 ユーザーのアクセス許可により、グループ内の各ユーザーは AWS アカウント内で以下のことを実行できます。

    • 独自の AWS Cloud9 開発環境を作成する。

    • 独自の環境に関する情報を取得する。

    • 自分の環境設定を変更する。

    AWS Cloud9 管理者のアクセス許可により、グループ内の各ユーザーは AWS アカウント内で、さらに次のことを実行できます。

    • 自分自身または他のユーザーの環境を作成する。

    • 自分自身または他のユーザーの環境に関する情報を取得する。

    • 自分自身または他のユーザーの環境を削除する。

    • 自分自身または他のユーザーの環境の設定を変更する。

    注記

    AWS Cloud9 管理者グループには、限定した数のユーザーのみ追加するようお勧めします。この AWS セキュリティのベストプラクティスによって、AWS リソースへのアクセスの問題の管理、追跡、およびトラブルシューティングがやりやすくなります。

  3. IAM attach-group-policy コマンドを実行し、AWS Cloud9 アクセス許可ポリシーで追加するグループの名前と Amazon リソースネーム (ARN) を指定します。

    AWS Cloud9 ユーザーアクセス許可の場合は、次の ARN を指定します。

    aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9User

    AWS Cloud9 管理者アクセス許可の場合は、次の ARN を指定します。

    aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9Administrator
    注記

    AWS Cloud9 アクセス許可を追加するグループが複数ある場合は、グループごとにこの手順を繰り返します。

これらの AWS マネージドポリシーがグループに付与するアクセス許可のリストを表示するには、「AWS マネージド (事前定義) ポリシー」を参照してください。

AWS Cloud9 によって求められるアクセス許可のみならず、グループに追加する AWS アクセス許可の詳細は、IAM ユーザーガイド の「マネージドポリシーとインラインポリシー」および「ポリシーによって付与される許可の理解」を参照してください。

ステップ 4: AWS Cloud9 コンソールにサインインする

このトピックの前のステップを完了すると、管理者とユーザーが AWS Cloud9 コンソールにサインインし、使用を開始できるようになります。

  1. AWS アカウントのルートユーザーとしてすでに AWS Management Console にサインインしている場合は、コンソールからサインアウトします。

  2. AWS Cloud9 コンソール (https://console.aws.amazon.com/cloud9/) を開きます。

  3. 先ほど作成または識別した IAM ユーザーの AWS アカウント番号を入力して、[次へ]を選択します。

    注記

    AWS アカウント番号を入力するオプションが表示されない場合は、[別のアカウントにサインインする]を選択します。次のページで AWS アカウント番号を入力し、[次へ]を選択します。

  4. 先ほど作成または識別した IAM ユーザーのユーザー名とパスワードを入力し、[サインイン]を選択します。

  5. プロンプトが表示されたら、画面の指示に従って、ユーザーの最初のサインインパスワードを変更します。新しいサインインパスワードを安全な場所に保存します。

AWS Cloud9 コンソールが表示されたら、AWS Cloud9 の使用を開始できます。

次のステップ

タスク 次のトピックを参照

AWS アカウントの他のユーザーによる AWS Cloud9 の使用を制限し、コストをコントロールします。

追加のセットアップオプション

AWS Cloud9 開発環境を作成し、AWS Cloud9 IDE を使用して、新しい環境でコードを操作します。

環境を作成する

AWS Cloud9 IDE を使用する方法について説明します。

開始方法: ベーシックチュートリアル および IDE を操作する

リアルタイムで次のチャットサポートを使用し、他のユーザーを招待して一緒に新しい環境を使用します。

共有環境を使用する