AWS Single Sign-On および AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Single Sign-On および AWS Organizations

AWS Single Sign-On(AWS SSO) は、すべての AWS アカウント およびクラウドアプリケーションを使用します。AWS Directory Service から Microsoft Active Directory に接続され、そのディレクトリのユーザーは、既存の Active Directory ユーザー名とパスワードを使用して、パーソナライズされたユーザーポータルにサインインできるようになります。ポータルからは、すべての AWS アカウント ポータルで提供するクラウドアプリケーションを使用できます。

AWS SSO の詳細については、『AWS Single Sign-On ユーザーガイド』を参照してください。

以下の情報を参考にして、統合を行います。AWS Single Sign-OnをAWS Organizations。

統合を有効にしたときに作成されるサービスリンクロール

以下のようになりますサービスにリンクされたロールは、信頼されたアクセスを有効にすると、組織の管理カウントに自動的に作成されます。このロールにより、はAWS SSOを使用して、組織内の組織のアカウント内で、サポートされている操作を実行します。

このロールを削除または変更できるのは、AWS SSOとOrganizations、または組織からメンバーアカウントを削除した場合。

  • AWSServiceRoleForSSO

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスリンクロールは、ロールに定義された信頼関係によって承認されたサービスプリンシパルによってのみ引き受けることができます。によって使用されるサービスにリンクされたロールAWS SSOは、次のサービスプリンシパルへのアクセスを許可します。

  • sso.amazonaws.com

で信頼されたアクセスを有効にします。AWS SSO

信頼されたアクセスを有効にするために必要なアクセス許可の詳細については、」信頼されたアクセスを有効にするために必要なアクセス許可

AWS Single Sign-On コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

可能であれば、「」を使用することを強くお勧めします。AWS Single Sign-Onコンソールまたはツールを使用して、Organizations との統合を可能にします。これにより、することができます。AWS Single Sign-Onは、サービスに必要なリソースの作成など、必要な構成を実行します。で提供されるツールを使用して統合を有効にできない場合にのみ、これらの手順を実行してください。AWS Single Sign-On詳細については、「」を参照してください。このメモ

信頼されたアクセスを有効にする場合は、AWS Single Sign-Onコンソールまたはツールでは、これらのステップを実行する必要はありません。

AWS SSOで信頼されたアクセスを必要にします。AWS Organizationsが機能するようにします。AWS SSO をセットアップすると、信頼されたアクセスが有効になります。詳細については、「」を参照してください。使用開始-ステップ 1: Enable (Gems の有効化)AWS Single Sign-On()AWS Single Sign-Onユーザーガイド

信頼されたアクセスを有効にするには、AWS Organizationsコンソールを実行することで、AWS CLIコマンドを使用するか、API オペレーションをAWSSDK。

AWS Management Console

Organizations コンソールを使用して信頼されたサービスアクセスを有効にするには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの []サービスページで、AWS Single Sign-Onを選択し、サービスの名前を選択してから、信頼されたアクセスの有効化

  3. 確認ダイアログボックスで [] を有効にします。信頼されたアクセスを有効にするオプションを表示する「」と入力します。enable[] ボックスの [] で [] を選択します。信頼されたアクセスの有効化

  4. あなただけの管理者である場合AWS Organizationsの管理者にAWS Single Sign-Onで、コンソールを使用してそのサービスを有効にできるようになりました。AWS Organizations。

AWS CLI, AWS API

組織CLI/SDK を使用して信頼されたサービスアクセスを有効にするには

以下を使用できます。AWS CLIサービスへの信頼されたアクセスを有効にするには、コマンドまたは API オペレーションを使用できます。

  • AWS CLI:aws-service-access

    次のコマンドを実行して、有効にします。AWS Single Sign-OnOrganizations で信頼済みサービスとしてとしてを有効にする

    $ aws organizations enable-aws-service-access \ --service-principal sso.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

で信頼されたアクセスを無効にします。AWS SSO

信頼されたアクセスを無効にするアクセス許可の詳細については、」信頼されたアクセスを無効にするために必要なアクセス許可

AWS SSOで信頼されたアクセスを必要にします。AWS Organizationsを操作する。AWS SSO 使用中に、AWS Organizations を使用して信頼されたアクセスを無効にすると、組織にアクセスできず、動作は停止します。ユーザーは AWS SSO を使用してアカウントにアクセスできません。AWS SSO によって作成されるロールは残りますが、AWS SSO サービスからアクセスすることはできません。AWS SSO のサービスにリンクされたロールは残ります。その後、信頼されたアクセスを再度有効にすると、AWS SSO は以前のように動作し続けます。サービスを再設定する必要はありません。

組織からアカウントを削除すると、サービスにリンクされたロールなど、すべてのメタデータとリソースが AWS SSO によって自動的にクリーンアップされます。スタンドアロンアカウントを組織から削除した場合は、AWS SSO で機能しなくなります。

信頼されたアクセスを無効にするには、Organizations ツールを使用するのが唯一の方法です。

信頼されたアクセスを無効にするには、AWS Organizationsコンソール、OrganizationsAWS CLIコマンドを使用するか、Organizations の API オペレーションをAWSSDK。

AWS Management Console

Organizations コンソールを使用して信頼されたサービスアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。

  2. リポジトリの []サービスページで、AWS Single Sign-Onをクリックし、サービスの名前を選択します。

  3. 選択信頼されたアクセスの無効化

  4. 確認ダイアログボックスで [] を入力します。disable[] ボックスの [] で [] を選択します。信頼されたアクセスの無効化

  5. あなただけの管理者である場合AWS Organizationsの管理者にAWS Single Sign-Onコンソールやツールを使ってそのサービスを無効にできるようになりました。AWS Organizations。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたサービスアクセスを無効にするには

以下を使用できます。AWS CLIサービスへの信頼されたアクセスを無効にするには、コマンドまたは API オペレーションを使用できます。

  • AWS CLI:aws-service-access

    次のコマンドを実行して、AWS Single Sign-OnOrganizations で信頼済みサービスとしてとしてを有効にする

    $ aws organizations disable-aws-service-access \ --service-principal sso.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess