IAM Identity Center 認証

AWS IAM Identity Center は、AWS コンピューティング以外のサービスで開発するときに AWS 認証情報を提供する推奨方法です。たとえば、これはローカルの開発環境のようなものです。Amazon Elastic Compute Cloud (Amazon EC2) や などの AWS リソースで開発する場合は AWS Cloud9、代わりにそのサービスから認証情報を取得することをお勧めします。

このチュートリアルでは、IAM Identity Center アクセスを確立し、 AWS アクセスポータルと を使用して SDK またはツール用に設定します AWS CLI。

• AWS アクセスポータルは、IAM Identity Center に手動でサインインするウェブの場所です。URL のフォーマットは d-xxxxxxxxxx.awsapps.com/start、または your_subdomain.awsapps.com/start です。 AWS アクセスポータルにサインインすると、そのユーザーに設定された ロール AWS アカウント と ロールを表示できます。この手順では、 AWS アクセスポータルを使用して、SDK/ツール認証プロセスに必要な設定値を取得します。

• AWS CLI は、コードによって行われた API コールに IAM Identity Center 認証を使用するように SDK またはツールを設定するために使用されます。この 1 回限りのプロセスでは、共有 AWS configファイルが更新され、コードの実行時に SDK またはツールによって使用されます。

IAM Identity Center を使用してプログラムによるアクセスを設定します

ステップ 1：アクセスを確立し、適切なアクセス許可セットを選択します

IAM Identity Center をまだ有効にしていない場合は、「 ユーザーガイド」の「IAM Identity Center のAWS IAM Identity Center 有効化」を参照してください。

AWS 認証情報にアクセスするには、次のいずれかの方法を選択します。

IAM Identity Center 経由のアクセスを確立していません

1. AWS IAM Identity Center ユーザーガイドのデフォルトの IAM Identity Center ディレクトリを使用してユーザーアクセスを設定する手順に従って、ユーザーを追加し、管理者権限を追加します。

2. アクセスAdministratorAccess許可セットは、通常の開発には使用しないでください。代わりに、雇用主がこの目的のためにカスタムPowerUserAccessアクセス許可セットを作成していない限り、事前定義されたアクセス許可セットを使用することをお勧めします。

   同じデフォルトの IAM Identity Center ディレクトリでユーザーアクセスを設定する手順を再度実行しますが、今回は次の操作を行います。

   • Admin team グループを作成する代わりに、Dev teamグループを作成し、その後、これを手順に置き換えます。

   • 既存のユーザーを使用できますが、そのユーザーを新しいDev teamグループに追加する必要があります。

   • アクセスAdministratorAccess許可セットを作成する代わりに、アクセスPowerUserAccess許可セットを作成し、その後、指示でこれを置き換えます。

   完了したら、次のものが必要です。

   • Dev team グループ。

   • Dev team グループにアタッチされたPowerUserAccessアクセス許可セット。

   • ユーザーが Dev team グループに追加されました。

3. ポータルを終了し、再度サインインして、 Administratorまたは の AWS アカウント および オプションを確認しますPowerUserAccess。ツール/SDK を使用するPowerUserAccessときに を選択します。

雇用主が管理するフェデレーティッド ID プロバイダー (Microsoft Entra や Okta など) AWS を通じて に既にアクセスしている

ID プロバイダーのポータル AWS から にサインインします。Cloud Administrator がユーザー PowerUserAccess (開発者) にアクセス許可を付与している場合は、アクセスできる AWS アカウント とアクセス許可セットが表示されます。アクセス許可セットの名前の横に、そのアクセス許可セットを使用してアカウントに手動またはプログラムでアクセスするオプションが表示されます。

カスタム実装では、アクセス許可セット名が異なるなど、エクスペリエンスが異なる場合があります。どのアクセス許可セットを使用すればよいかわからない場合は、IT チームにお問い合わせください。

雇用主が管理する AWS アクセスポータル AWS から に既にアクセスできる

AWS アクセスポータル AWS から にサインインします。Cloud Administrator がユーザー PowerUserAccess (開発者) にアクセス許可を付与している場合は、アクセスできる AWS アカウント とアクセス許可セットが表示されます。アクセス許可セットの名前の横に、そのアクセス許可セットを使用してアカウントに手動またはプログラムでアクセスするオプションが表示されます。

雇用主が管理するフェデレーティッドカスタム ID プロバイダー AWS を通じて に既にアクセスできる

サポートについては、IT チームにお問い合わせください。

ステップ 2：IAM Identity Center を使用するように SDK とツールを設定します

1. 開発マシンに最新の AWS CLIをインストールします。

   1. 「AWS Command Line Interface  ユーザーガイド」の「AWS CLI の最新バージョンをインストールまたは更新します。」を参照してください。

   2. （オプション) AWS CLI が動作していることを確認するには、コマンドプロンプトを開き、 aws --version コマンドを実行します。

2. AWS アクセスポータルにサインインします。この URL は、雇用主から提供されたり、「ステップ 1: アクセスを確立する」の後に E メールで取得したりする場合があります。そうでない場合は、https://console.aws.amazon.com/singlesignon/ の ダッシュボードで AWS アクセスポータル URL を見つけます。

   1. AWS アクセスポータルの アカウント タブで、管理する個々のアカウントを選択します。ユーザーのロールが表示されます。アクセスキーを選択して、コマンドライン用の認証情報または適切なアクセス許可セット用のプログラムによるアクセスを取得します。事前定義された PowerUserAccess 許可セットを使用するか、またはユーザーもしくは雇用主が開発のために最小特権の許可を適用するために作成した許可セットを使用してください。

   2. [認証情報の取得] ダイアログボックスで、オペレーティングシステムに応じて、[MacOS と Linux] または [Windows] を選択します。

   3. [IAM Identity Center 認証情報] メソッドを選択して、次のステップに必要な SSO Start URL と SSO Region の値を取得します。

3. AWS CLI コマンドプロンプトで、 aws configure sso コマンドを実行します。プロンプトが表示されたら、前のステップで収集した設定値を入力します。この AWS CLI コマンドの詳細については、aws configure sso「ウィザードでプロファイルを設定する」を参照してください。

   1. [CLI プロファイル名]には、開始時にデフォルトを入力することをお勧めします。デフォルト以外の（名前付き）プロファイルとそれに関連する環境変数を設定する方法については、「プロファイル」を参照してください。

4. （オプション) AWS CLI コマンドプロンプトで、 aws sts get-caller-identity コマンドを実行してアクティブなセッション ID を確認します。レスポンスには、設定した IAM Identity Center アクセス許可セットが表示されるはずです。

5. AWS SDK を使用している場合は、開発環境で SDK 用のアプリケーションを作成します。

   1. 一部の SDK では、IAM Identity Center 認証を使用する前に、SSO や SSOOIDC などの追加パッケージをアプリケーションに追加する必要があります。詳細については、具体的な SDK を参照してください。

   2. へのアクセスを以前に設定している場合は AWS、共有 AWS credentialsファイルで を確認しますAWS アクセスキー。認証情報プロバイダーチェーン 優先順位により、SDK またはツールが IAM Identity Center の認証情報を使用する前に、静的認証情報をすべて削除する必要があります。

SDK とツールがこの設定を使用して認証情報を使用および更新する方法についての詳細は、「IAM Identity Center 認証を理解する」を参照してください。

設定したセッションの長さによっては、アクセスが最終的に期限切れになり、SDK で認証エラーが発生します。必要に応じてアクセスポータルセッションを再度更新するには、 を使用して aws sso login コマンド AWS CLI を実行します。

IAM Identity Center アクセスポータルのセッション期間とアクセス許可セットのセッション期間の両方を延長できます。これにより、 AWS CLIに手動でサインインし直す必要が出るまでにコードを実行できる時間が長くなります。詳細については、『AWS IAM Identity Center ユーザーガイド:』の以下のトピックを参照してください。

• IAM Identity Center セッション期間 — ユーザーの AWS アクセスポータルセッションの期間を設定します。

• アクセス許可セットセッション期間 – セッション期間を設定します

SDK およびツール用の、すべての IAM アイデンティティセンターのプロバイダー設定の詳細については、このガイドの「IAM Identity Center 認証情報プロバイダー」を参照してください。