デフォルトの IAM アイデンティティセンターディレクトリを使用してユーザーアクセスを設定する - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

デフォルトの IAM アイデンティティセンターディレクトリを使用してユーザーアクセスを設定する

IAM Identity Center を初めて有効にすると、デフォルトの ID ソースとして Identity Center ディレクトリが自動的に設定されるため、ID ソースを選択する必要はありません。組織が、Microsoft Active Directory、Microsoft Entra ID または Okta などの別の ID プロバイダーを使用している場合、デフォルト設定を使用する代わりに、その ID ソースを IAM アイデンティティセンターと統合することを検討してください。

目的

このチュートリアルでは、デフォルトのディレクトリを ID ソースとして使用し、IAM Identity Center 組織インスタンスを使用して管理ユーザーをセットアップしてテストします。この管理ユーザーは、ユーザーとグループを作成および管理し、アクセス許可セットを使用して AWS アクセスを許可します。次のステップでは、以下を作成します。

  • Nikki Wolf という名前の管理ユーザー

  • 管理チーム という名前のグループ。

  • AdminAccess という名前のアクセス許可セット

すべてが正しく作成されたことを確認するには、サインインして管理ユーザーのパスワードを設定します。このチュートリアルを完了すると、管理ユーザーを使用して IAM Identity Center にユーザーを追加し、追加のアクセス許可セットを作成し、アプリケーションへの組織アクセスを設定できます。または、ユーザーにアプリケーションへのアクセスを許可する場合は、この手順のステップ 1 に従ってアプリケーションアクセスを設定できます

このチュートリアルを完了するには、次の前提条件が必要です。

  1. IAM Identity Center コンソールを開きます。

  2. IAM アイデンティティセンターナビゲーションペインで、[ユーザー] を選択し、[ユーザーの追加] を選択します。

  3. [ユーザーの詳細を指定] ページで、次の情報を入力します。

    • [ユーザー名] - このチュートリアルでは、nikkiw と入力します。

      ユーザーを作成するときは、覚えやすいユーザー名を選択してください。アクセス AWS ポータルにサインインするには、ユーザーがユーザー名を覚えている必要があり、後で変更することはできません。

    • [パスワード] - [このユーザーにパスワード設定の手順を記載した E メールを送信 (推奨)] を選択します。

      このオプションでは、Amazon Web Services からユーザーに「Invitation to join IAM Identity Center」という件名の E メールが送信されます。E メールは、no-reply@signin.aws または no-reply@login.awsapps.com から送信されます。これらの E メールアドレスを承認済み送信者リストに追加してください。

    • [E メールアドレス] - メールを受信できるユーザーの E メールアドレスを入力します。確認のため再入力します。各ユーザーは一意の E メールアドレスを持っている必要があります。

    • [名] - ユーザーの名を入力します。このチュートリアルでは、Nikki と入力します。

    • [姓] - ユーザーの姓を入力します。このチュートリアルでは、Wolf と入力します。

    • [表示名] - デフォルト値は、ユーザーの名と姓です。表示名を変更したい場合は、別の名前を入力できます。表示名はサインインポータルとユーザーリストに表示されます。

    • 必要に応じてオプション情報を入力します。このチュートリアルでは使用されないので、後で変更できます。

  4. [次へ] を選択します。[ユーザーをグループに追加] ページが表示されます。Nikki に直接アクセス許可を与えるのではなく、管理者のアクセス許可を割り当てるグループを作成します。

    [グループを作成] を選択する

    新しいブラウザタブで [グループの作成] ページが開きます。

    1. [グループの詳細][グループ名] に、グループの名前を入力します。グループのロールを識別するグループ名を使用することをおすすめします。このチュートリアルでは、Admin teamと入力します。

    2. [グループを作成] を選択する

    3. [グループ] ブラウザータブを閉じて、[ユーザーを追加] ブラウザタブに戻ります。

  5. [グループ] 領域で、[更新] ボタンを選択します。管理チームグループがリストに表示されます。

    [管理チーム] の横にあるチェックボックスをオンにし、[次へ] を選択します。

  6. [ユーザーの確認と追加] ページで、次のことを確認します。

    • 主要情報は意図したとおりに表示されます。

    • グループには、作成したグループに追加されたユーザーが表示されます。

    変更するには、[Edit] (編集) を選択します。すべての情報が正しければ、[ユーザーを追加] を選択します。

    ユーザーが追加されたことを知らせる通知メッセージが表示されます。

次に、管理者チームグループの管理アクセス許可を追加して、Nikki がリソースにアクセスできるようにします。

重要

IAM Identity Center の組織インスタンスを有効にした場合にのみ、以下の手順に従います。

  1. IAM アイデンティティセンターのナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。

  2. [AWS アカウント] ページの[組織構造] には、自分の組織とその下のアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

  3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

    1. [ステップ 1: ユーザーとグループの選択] では、作成した管理チームグループを選択します。次いで、[次へ] を選択します。

    2. [ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

        • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

        • [事前定義された許可セットのポリシー][AdministratorAccess] を選択します。

        [次へ] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

        デフォルト設定では、AdministratorAccess という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。アクセス許可セットの名前を変更するには、[許可セット名] フィールドに新しい名前を入力します。

      3. ステップ 3: 確認して作成するには、アクセス許可セットタイプが AWS 管理ポリシー AdministratorAccess を使用していることを確認します。[作成] を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      [アクセス許可セット] 領域で、[更新] ボタンを選択します。作成した AdministratorAccess 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択して、[次へ] を選択します。

    3. [ステップ 3: 割り当ての確認と送信] ページで、[管理者チーム] グループが選択されていることと、AdministratorAccess 許可セットが選択されていることを確認し、[送信] を選択します。

      ページ AWS アカウント が更新され、 が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。

お疲れ様でした。

最初のユーザー、グループ、アクセス許可セットが正常に設定されました。

このチュートリアルの次の部分では、管理者認証情報を使用して アクセスポータルにサインインして Nikki AWS のアクセスをテストし、パスワードを設定します。すぐにコンソールからサインアウトします。

Nikki Wolf が組織のユーザーになったので、ユーザーはサインインして、アクセス許可セットに従ってアクセス許可が付与されているリソースにアクセスできます。ユーザーが正しく設定されていることを確認するには、次のステップで Nikki の認証情報を使用してサインインし、パスワードを設定します。ステップ 1 でユーザー Nikki Wolf を追加したときに、Nikki にパスワード設定手順が記載された E メールが送信されるように選択しました。この E メールを開いて、以下の操作を行います。

  1. E メール内の [招待を承認] リンクを選択して招待を承諾します。

    注記

    E メールには、Nikki のユーザー名と、組織へのサインインに使用する AWS アクセスポータル URL も含まれています。将来使用するためにこの情報を記録します。

    新規ユーザーのサインアップページが表示され、Nikki のパスワードを設定し、MFA デバイスを登録できます。

  2. Nikki のパスワードを設定すると、[サインイン] ページに移動します。nikkiw と入力して [次へ] を選択し、Nikki のパスワードを入力して [サインイン] を選択します。

  3. AWS アクセスポータルが開き、アクセスできる組織とアプリケーションが表示されます。

    組織を選択して のリストに展開 AWS アカウント し、アカウントを選択して、アカウントのリソースにアクセスするために使用できるロールを表示します。

    各アクセス許可セットには、ロール方式アクセスキー方式の 2 つの管理方式があります。

    • ロール方式、例えばAdministratorAccessの場合、 AWS Console Homeを開きます。

    • アクセスキー - AWS CLI または SDK および AWS SDK で使用できる認証情報を提供します。自動的に更新される短期認証情報または短期アクセスキーのいずれかを使用するための情報が含まれます。詳細については、「AWS CLI または AWS SDKs の IAM Identity Center ユーザー認証情報の取得」を参照してください。

  4. [ロール] のリンクを選択して AWS Console Homeにサインインします。

サインインし、 AWS Console Home ページに移動します。コンソールを表示して、期待どおりのアクセス許可があることを確認します。

IAM アイデンティティセンターで管理ユーザーを作成したため、次のことができるようになりました。

ユーザーが招待を受け入れてアカウントをアクティブ化し、 AWS アクセスポータルにサインインすると、ポータルに表示される項目は、割り当てられている AWS アカウント、ロール、およびアプリケーションのみです。