AWS Control Tower
ユーザーガイド

AWS シングルサインオン によるユーザーとアカウントの管理

AWS シングルサインオン は、AWS アカウントおよびビジネスアプリケーションへの SSO アクセスの管理をシンプルにするクラウドベースのサービスです。AWS Organizations では、すべての AWS アカウントの SSO アクセスとユーザーアクセス権限を管理できます。また、一般的なビジネスアプリケーションや、Security Assertion Markup Language (SAML) 2.0 をサポートするカスタムアプリケーションに対するアクセスを管理することもできます。さらに、AWS SSO には、エンドユーザーが自分に割り当てられている AWS アカウント、ビジネスアプリケーション、カスタムアプリケーションを一元的に検索できるユーザーポータルが含まれます。詳細については、「AWS シングルサインオン ユーザーガイド」を参照してください。

AWS Control Tower では、AWS シングルサインオン により中央のクラウド管理者とエンドユーザーの両方が、複数の AWS アカウントやビジネスアプリケーションへの SSO アクセスを管理できます。AWS Control Tower では、このサービスを AWS Service Catalog で作成されるアカウントへのユーザーアクセスの作成と管理に使用します。

注記

初めて AWS Control Tower を設定するとき、ルートユーザーと正しいアクセス許可を持つ IAM ユーザーのみ、AWS SSO ユーザーを追加できます。ただし、エンドユーザーが AWSAccountFactory グループに追加されると、Account Factory ウィザードから新しい SSO ユーザーを作成できます。詳細については、「Account Factory」を参照してください。

Landing Zone は、ユーザー ID とシングルサインオンを管理して、ユーザーにアカウント間でフェデレーティッドアクセスを提供するために、ディレクトリで設定されます。Landing Zone を設定すると、デフォルトのディレクトリが設定されています。このディレクトリは、あらかじめ設定されたユーザーグループとアクセス権限セットで設定されています。

このグループは、共有アカウント内で特殊化されたロールを簡単に管理できるように設計されています。メンバーアカウントでエンドユーザーに新しいグループを作成することができます。使用できるアクセス権限セットは、読み取り専用アクセス権限、AWS Control Tower 管理者アクセス、AWS Service Catalog アクセスなど、異なるユーザー権限の幅広いユースケースをカバーします。エンドユーザーは、これらのアクセス権限セットを使用して、Landing Zone で独自の AWS アカウントを迅速にプロビジョニングできます。

AWS Control Tower のコンテキストでのこのサービスの詳しい使用方法については、AWS シングルサインオン ユーザーガイド で次のトピックを参照してください。

警告

AWS Control Tower を使用する場合、AWS SSO は 米国東部(バージニア北部) ディレクトリにあります。Landing Zone を別のリージョンに設定してから、AWS SSO コンソールに移動する場合、リージョンを 米国東部(バージニア北部) に変更する必要があります。米国東部(バージニア北部) で AWS SSO 設定を削除しないでください。

AWS Control Tower 用の AWS SSO グループ

AWS Control Tower では、アカウントで特定のタスクを実行するユーザーを整理するために事前設定されたグループが利用できます。ユーザーを追加して、AWS SSO で直接これらのグループに割り当てられます。これにより、アカウント内でアクセス権限セットをグループにいるユーザーに一致させます。Landing Zone の設定時に作成されるグループは次のとおりです。

AWSAccountFactory

アカウント アクセス権限セット 説明
マスターアカウント AWSServiceCatalogEndUserAccess このグループは、Account Factory を使用して新しいアカウントをプロビジョニングするためにこのアカウントでのみ使用されます。

AWSServiceCatalogAdmins

アカウント アクセス権限セット 説明
マスターアカウント AWSServiceCatalogAdminFullAccess このグループは、Account Factory で管理者権限を変更するためにこのアカウントでのみ使用され ます。このグループのユーザーは、AWSAccountFactory グループにも含まれていない限り新しいアカウントをプロビジョニングできません。

AWSControlTowerAdmins

アカウント アクセス権限セット 説明
マスターアカウント AWSAdministratorAccess AWS Control Tower コンソールにアクセスできるのは、このアカウントのこのグループのユーザーのみです。
ログアーカイブアカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。
監査アカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。
メンバーアカウント AWSOrganizationsFullAccess ユーザーはこのアカウントで 組織 へのフルアクセスが与えられます。

AWSSecurityAuditPowerUsers

アカウント アクセス権限セット 説明
マスターアカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定することができます。
ログアーカイブアカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定することができます。
監査アカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定することができます。
メンバーアカウント AWSPowerUserAccess ユーザーは、アプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定することができます。

AWSSecurityAuditors

アカウント アクセス権限セット 説明
マスターアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
ログアーカイブアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
監査アカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。
メンバーアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。

AWSLogArchiveAdmins

アカウント アクセス権限セット 説明
ログアーカイブアカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。

AWSLogArchiveViewers

アカウント アクセス権限セット 説明
ログアーカイブアカウント AWSReadOnlyAccess ユーザーには、このアカウントのすべての AWS のサービスとリソースに読み取り専用アクセスがあります。

AWSAuditAccountAdmins

アカウント アクセス権限セット 説明
監査アカウント AWSAdministratorAccess ユーザーは、このアカウントで管理者アクセスが与えられます。