翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CLI または AWS SDK の IAM Identity Center のユーザー認証情報を取得します。
IAM Identity Center のユーザー認証情報を使用して、AWS Command Line Interface または AWS Software Development Kit (SDK) を使用することにより、プログラムで AWS サービスにアクセスできます。このトピックでは、IAM Identity Center のユーザーの一時的な認証情報を取得する方法について説明します。
AWS アクセスポータルは、IAM Identity Center のユーザーに AWS アカウント やクラウドアプリケーションへのシングルサインオンアクセスを提供します。IAM Identity Center ユーザーとして AWS アクセスポータルにサインインすると、一時的な認証情報を取得できます。その後、AWS CLI または AWS SDK 内の認証情報 (IAM Identity Center ユーザー認証情報とも呼ばれます) を使用して、AWS アカウント 内のリソースにアクセスできます。
AWS CLI を使用してプログラムから AWS サービスにアクセスする場合は、このトピックの手順を使用して AWS CLI へのアクセスを開始できます。AWS CLI の詳細については、「AWS Command Line Interface ユーザーガイド」を参照してください。
AWSSDK を使用してプログラムでAWSサービスにアクセスする場合は、このトピックの手順に従うことでAWS SDK の認証も直接確立されます。AWSSDK について詳しくは、「AWS SDK およびツールリファレンスガイド」を参照してください。
注記
IAM Identity Center のユーザーは「IAM ユーザー」とは異なります。IAM ユーザーには、AWS リソースへの長期的な認証情報が付与されます。IAM Identity Center のユーザーには一時的な認証情報が付与されます。一時的な認証情報は、ログインするたびに生成されるため、AWS アカウント にアクセスするための安全なベストプラクティスとして、一時的な認証情報を使用することをお勧めします。
前提条件
IAM Identity Center ユーザーの一時認証情報を取得するには、以下が必要です。
-
IAM Identity Center ユーザー — このユーザーとして AWS アクセスポータルにサインインします。ユーザーまたは管理者がこのユーザーを作成できます。IAM Identity Center を有効化して IAM Identity Center ユーザーを作成する方法については、IAM アイデンティティセンターで一般的なタスクを開始する を参照してください。
-
AWS アカウント へのユーザーアクセス — IAM Identity Center ユーザーに一時的な認証情報を取得する権限を付与するには、管理者または管理者が IAM Identity Center ユーザーを「権限セット」に割り当てる必要があります。権限セットは IAM Identity Center に保存され、IAM Identity Center ユーザーが AWS アカウント に対して持つアクセスレベルを定義します。管理者が IAM Identity Center ユーザーを作成した場合は、このアクセス権を追加してもらうよう依頼してください。詳細については、「へのユーザーアクセスを割り当てる AWS アカウント」を参照してください。
-
AWS CLI インストール済み — 一時的な認証情報を使用するには、AWS CLI をインストールする必要があります。手順については、「AWS CLI ユーザーガイド」の「AWS CLI の最新バージョンのインストールまたは更新」を参照してください。
考慮事項
IAM Identity Center ユーザーの一時的な認証情報を取得する手順を完了する前に、以下の考慮事項に注意してください。
-
IAM Identity Center は IAM ロールを作成する ー IAM Identity Center のユーザーを権限セットに割り当てると、IAM Identity Center はその権限セットから対応する IAM ロールを作成します。権限セットによって作成される IAM ロールは、AWS Identity and Access Managementで作成される IAM ロールとは以下の点で異なります。
-
IAM Identity Center は、権限セットによって作成されたロールを所有し、保護します。IAM Identity Center のみがこれらのロールを変更できます。
-
IAM Identity Center のユーザーのみが、割り当てられた権限セットに対応するロールを引き受けることができます。権限セットへのアクセスを IAM ユーザー、IAM フェデレーティッドユーザー、またはサービスアカウントに割り当てることはできません。
-
これらのロールのロール信頼ポリシーを変更して IAM Identity Center 外の「プリンシパル」へのアクセスを許可することはできません。
一時的な認証情報を取得する方法については、「AWS Identity and Access Management ユーザーガイド」の「AWS CLI で一時的なセキュリティ認証情報を使用する」を参照してください。
-
-
権限セットのセッション期間を設定可能 ー AWS アクセスポータルにサインインすると、IAM Identity Center ユーザーが割り当てられている権限セットが使用可能なロールとして表示されます。IAM Identity Center は、このロール用に別のセッションを作成します。このセッションは、権限セットに設定されているセッション時間に応じて 1 時間から 12 時間まで可能です。デフォルトでは、セッションの有効期間は 1 時間です。詳細については、「のセッション期間を設定する AWS アカウント」を参照してください。
一時的な認証情報の取得と更新
IAM Identity Center ユーザーの一時認証情報は、自動または手動で取得および更新できます。
認証情報の自動更新 (推奨)
認証情報の自動更新は、Open IdConnect Center (OIDC) デバイスコード認可標準を使用します。この方法では、AWS CLI の aws configure
sso
コマンドを使用して直接アクセスを開始します。このコマンドを使用すると、任意の AWS アカウントに割り当てられている任意のアクセス許可セットに関連付けられてた任意のロールに自動的にアクセスすることができます。
IAM Identity Center ユーザーに作成されたロールにアクセスするには、aws configure sso
コマンドを実行し、ブラウザのウィンドウから AWS CLI を承認します。AWS アクセスポータルのセッションがアクティブである限り、AWS CLI は一時認証情報を自動的に取得し、認証情報を自動的に更新します。
詳細については、AWS Command Line Interface ユーザーガイドの「aws configure sso wizard
を使用したプロフィール設定」を参照してください。
自動的に更新される一時的な認証情報を取得するには
-
管理者から提供された特定のサインイン URL を使用して AWS アクセスポータルにサインインします。IAM Identity Center ユーザーを作成した場合は、AWS はサインイン URL を含む招待メールを送信しました。アクセスポータルへのサインインについて詳しくは、「AWS Sign-In User Guide」の「Sign in to the AWS access portal」を参照してください。
-
[アカウント] タブ内で、認証情報を取得する AWS アカウントを選択します。アカウントを選択すると、そのアカウントに関連付けられているアカウント名、アカウント ID、および E メールアドレスが表示されます。
注記
AWS アカウントが一覧表示されていない場合は、そのアカウントの権限セットに割り当てられていない可能性があります。この場合は、管理者に連絡して、このアクセス権を追加してもらうよう依頼してください。詳細については、「へのユーザーアクセスを割り当てる AWS アカウント」を参照してください。
-
アカウントの下に、IAM Identity Center ユーザーに割り当てられている権限セットの名前が使用可能なロールとして表示されます。たとえば、IAM Identity Center ユーザーがアカウントの [PowerUserAccess] 権限セットに割り当てられている場合、ロールはAWSアクセスポータルに [PowerUserAccess] として表示されます。
-
ロール名の横にあるオプションに応じて、[アクセスキー] を選択するか、[コマンドラインまたはプログラムによるアクセス] を選択します。
-
[認証情報の取得]ダイアログボックスで、AWS CLIをインストールしたオペレーティングシステムに応じて、「macOS と Linux」、「Windows」、または「PowerShell」のいずれかを選択します。
-
「AWSIAM Identity Center の認証情報 (推奨)」に、
SSO Start URL
とSSO Region
が表示されます。これらの値は、IAM Identity Center で有効化されたプロファイルおよびsso-session
を AWS CLI に対して設定する必要があります。この設定を完了するには、「AWS Command Line Interfaceユーザーガイド」の「aws configure sso wizard
でプロファイルを設定」の指示に従います。
認証情報が期限切れになるまで、AWS アカウント で必要に応じて AWS CLI を使用できます。
認証情報の手動更新
認証情報の手動更新により、特定の AWS アカウントの特定の許可セットに関連付けられたロール向けの一時的な認証情報を取得できます。そのためには、一時的な認証情報に必要なコマンドをコピーして貼り付けます。この方法では、一時的な認証情報を手動で更新する必要があります。
一時的な認証情報の有効期限が切れるまで AWS CLI コマンドを実行できます。
手動で更新する認証情報を取得するには
-
管理者から提供された特定のサインイン URL を使用して AWS アクセスポータルにサインインします。IAM Identity Center ユーザーを作成した場合は、AWS はサインイン URL を含む招待メールを送信しました。アクセスポータルへのサインインについて詳しくは、「AWS Sign-In User Guide」の「Sign in to the AWS access portal」を参照してください。
-
[アカウント] タブ内で、アクセス認証情報を取得したい AWS アカウントを展開し、IAM ロール名 (Administrator など) を表示させます。IAM ロール名の横にあるオプションに応じて、[アクセスキー] を選択するか、[コマンドラインまたはプログラムによるアクセス] を選択します。
注記
AWS アカウントが一覧表示されていない場合は、そのアカウントの権限セットに割り当てられていない可能性があります。この場合は、管理者に連絡して、このアクセス権を追加してもらうよう依頼してください。詳細については、「へのユーザーアクセスを割り当てる AWS アカウント」を参照してください。
-
[認証情報の取得]ダイアログボックスで、AWS CLIをインストールしたオペレーティングシステムに応じて、「MacOS と Linux」、「Windows」、または「PowerShell」のいずれかを選択します。
-
次のいずれかのオプションを選択します。
オプション 1: AWS 環境変数を設定する
このオプションを選択すると、
credentials
ファイルやconfig
ファイル内の設定を含むすべての認証情報が上書きされます。詳細については、「AWS CLIユーザガイド」の「AWS CLIを設定するための環境変数」を参照してください。このオプションを使用するには、コマンドをクリップボードにコピーし、AWS CLI ターミナルウィンドウに貼り付け、[Enter] を押して必要な環境変数を設定します。
オプション 2: AWS 認証情報ファイルにプロファイルを追加する
このオプションを選択すると、さまざまな認証情報を使用してコマンドを実行できます。
このオプションを使用するには、コマンドをクリップボードにコピーし、そのコマンドを共有 AWS
credentials
ファイルに貼り付けて、新しい名前付きプロファイルを設定します。詳細については、「AWS SDK とツールのリファレンスガイド」の「共有設定ファイルおよび認証情報ファイル」を参照してください。この認証情報を使用するには、AWS CLI コマンドで--profile
オプションを指定します。このことは、この同じ認証情報ファイルを使用するすべての環境にも当てはまります。オプション 3: AWS サービスクライアントで個別の値を使用する
AWS サービスクライアントから AWS リソースにアクセスするには、このオプションを選択します。詳細については、「AWS での構築ツール
」を参照してください。 このオプションを使用するには、値をクリップボードにコピーし、その値をコードに貼り付け、SDK の適切な変数に割り当てます。詳細については、お使いの SDK API 固有のドキュメントを参照してください。