AD 認証情報による AWS Management Console へのアクセスを有効化する - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AD 認証情報による AWS Management Console へのアクセスを有効化する

AWS Directory Service を使用すると、ディレクトリのメンバーに AWS Management Console へのアクセス権限を付与することができます。デフォルトでは、ディレクトリのメンバーに AWS リソースに対するアクセス権限は付与されません。ディレクトリのメンバーに IAM ロールを割り当てることで、さまざまな AWS サービスやリソースにアクセスできるようにします。IAM ロールでは、ディレクトリメンバーに付与するをサービス、リソース、およびアクセス権限のレベルを定義します。

ディレクトリメンバーにコンソールへのアクセス権限を付与する際には、ディレクトリにアクセス するための URL を設定しておく必要があります。ディレクトリの詳細表示およびアクセス URL の取得に関する詳細は、「ディレクトリ情報の表示」を参照してください。アクセス URL 作成方法の詳細については、「アクセス URL の作成」を参照してください。

IAM ロールを作成し、ディレクトリメンバーに割り当てる方法に関する詳細については「ユーザーおよびグループに AWS リソースへのアクセス権限を付与する」を参照してください。

関連する AWS セキュリティブログの記事

AWS Management Console へのアクセスを有効にする

デフォルトでは、コンソールへのアクセスが有効化されたディレクトリはありません。ディレクトリのユーザーおよびグループによるコンソールアクセスを有効にするには、以下の手順を実行します。

コンソールアクセスを有効にするには
  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) を選択します。

  2. [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。

  3. [Directory details] (ディレクトリの詳細) ページで、[Application management] (アプリケーション管理) タブを選択します。

  4. AWS Management Console セクションで、[Enable] (有効) をクリックします。ディレクトリに対するコンソールアクセスが有効になりました。

    ユーザーがアクセス URL を使用してコンソールにサインインできるようにするには、先に、そのユーザーをロールに追加しておく必要があります。IAM ロールへのユーザーの割り当てに関する一般情報については、「ユーザーまたはグループの既存のロールへの割り当て」を参照してください。IAM ロールの割り当てが完了したユーザーは、アクセス URL を使用してコンソールにアクセスできるようになります。例えば、ディレクトリのアクセス URL が example-corp.awsapps.com である場合、コンソールへアクセスするための URL は、https://example-corp.awsapps.com/console/ となります。

AWS Management Consoleへのアクセスを無効にする

ディレクトリのユーザーおよびグループによるコンソールアクセスを無効にするには、以下の手順を行います。

コンソールアクセスを無効化するには
  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) を選択します。

  2. [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。

  3. [Directory details] (ディレクトリの詳細) ページで、[Application management] (アプリケーション管理) タブを選択します。

  4. AWS Management Console セクションで、[Disable] (無効) をクリックします。これで、ディレクトリからのコンソールアクセスが無効化されます。

  5. IAM ロールがディレクトリ内のユーザーまたはグループに割り当てられている場合、[Disable] (無効) ボタンは使用できない場合があります。この場合は、先に進む前に、ディレクトリのすべての IAM ロールの割り当てを削除します。これには、ディレクトリから削除されたユーザー ([Deleted User] (削除されたユーザー) に表示) またはグループ ([Deleted Group] (削除されたグループ) に表示) への割り当ても含まれます。

    すべての IAM ロールの割り当てが削除されたら、上記の手順を繰り返します。

ログインセッション期間の設定

デフォルトでは、ユーザーがコンソールにサインインしてから 1 時間経過すると、このセッションからログアウトされます。この場合、再度サインインしてセッションを開始する必要がありますが、1 時間後経過すると、再度このセッションからログオフされます。以下の手順により、使用期間をセッションごとに最大 12 時間に延長することができます。

ログインセッション期間を設定するには
  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) を選択します。

  2. [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。

  3. [Directory details] (ディレクトリの詳細) ページで、[Application management] (アプリケーション管理) タブを選択します。

  4. [AWS apps & services] (AWS アプリおよびサービス) セクションで、[ Management Console] ( マネジメントコンソール) を選択します。

  5. [Manage Access to AWS Resource] (AWS リソースへのアクセスの管理) ダイアログボックスで、[Continue] (続行) を選択します。

  6. [Assign users and groups to IAM roles] (ユーザーおよびグループの IAM ロールへの割り当て) ページの [Set login session length] (ログインセッション期間の設定) で数値を編集し、[Save] (保存) をクリックします。