デフォルトの IAM Identity Center ディレクトリを使用してユーザーアクセスを設定する

IAM Identity Center を初めて有効にすると、デフォルトの ID ソースとして Identity Center ディレクトリが自動的に設定されるため、ID ソースを選択する必要はありません。組織が などの別の ID プロバイダーを使用している場合 AWS Directory Service for Microsoft Active Directory, Microsoft Entra ID、または Okta デフォルト設定を使用する代わりに、その ID ソースを IAM Identity Center と統合することを検討してください。

目的

このチュートリアルでは、デフォルトディレクトリを ID ソースとして使用し、ユーザーアクセスを設定してテストします。このシナリオでは、IAMIdentity Center ですべてのユーザーとグループを管理します。ユーザーが 経由でサインインする AWS アクセスポータル。このチュートリアルは、 を初めて使用するユーザーを対象としています。 AWS ユーザーとグループの管理IAMに を使用していた または 。次のステップでは、以下を作成します。

• という名前の管理ユーザー Nikki Wolf

• という名前のグループ Admin team

• という名前のアクセス許可セット AdminAccess

すべてが正しく作成されたことを確認するには、サインインして管理ユーザーのパスワードを設定します。このチュートリアルを完了すると、管理ユーザーを使用して IAM Identity Center にユーザーを追加し、追加のアクセス許可セットを作成し、アプリケーションへの組織アクセスを設定できます。

IAM Identity Center をまだ有効にしていない場合は、「」を参照してください有効化 AWS IAM Identity Center。

開始する前に:

次のいずれかを実行して にサインインします。 AWS Management Console.

• への新規 AWS （ルートユーザー） – を選択してアカウント所有者としてサインインします。 AWS アカウント ルートユーザーと の入力 AWS アカウント E メールアドレス。次のページでパスワードを入力します。

• 既に を使用している AWS （IAM 認証情報） — 管理者権限を持つ IAM認証情報を使用してサインインします。

IAM Identity Center コンソール を開きます。

ステップ 1: ユーザーを追加する

1. IAM Identity Center ナビゲーションペインで、ユーザー を選択し、ユーザー を追加 を選択します。

2. [ユーザーの詳細を指定] ページで、次の情報を入力します。

   • Username - このチュートリアルでは、「」と入力します。nikkiw.

     ユーザーを作成するときは、覚えやすいユーザー名を選択してください。ユーザーは、 にサインインするユーザー名を覚えている必要があります。 AWS アクセスポータル。後で変更することはできません。

   • [パスワード] - [このユーザーにパスワード設定の手順を記載した E メールを送信 (推奨)] を選択します。

     このオプションでは、Amazon Web Services から E メールがユーザーに送信され、件名はIAM「Identity Center への参加の招待」になります。E メールは、no-reply@signin.aws または no-reply@login.awsapps.com から送信されます。これらの E メールアドレスを承認済み送信者リストに追加してください。

   • [E メールアドレス] - メールを受信できるユーザーの E メールアドレスを入力します。確認のため再入力します。各ユーザーは一意の E メールアドレスを持っている必要があります。

   • [名] - ユーザーの名を入力します。このチュートリアルでは、「」と入力します。Nikki.

   • [姓] - ユーザーの姓を入力します。このチュートリアルでは、「」と入力します。Wolf.

   • [表示名] - デフォルト値は、ユーザーの名と姓です。表示名を変更したい場合は、別の名前を入力できます。表示名はサインインポータルとユーザーリストに表示されます。

   • 必要に応じてオプション情報を入力します。このチュートリアルでは使用されないので、後で変更できます。

3. [Next (次へ)] を選択します。[ユーザーをグループに追加] ページが表示されます。管理アクセス許可を に直接付与するのではなく、 に割り当てるグループを作成します。Nikki.

   [グループを作成] を選択する

   新しいブラウザタブで [グループの作成] ページが開きます。

   1. [グループの詳細] の [グループ名] に、グループの名前を入力します。グループのロールを識別するグループ名を使用することをおすすめします。このチュートリアルでは、「」と入力します。Admin team.

   2. [グループを作成] を選択する

   3. [グループ] ブラウザータブを閉じて、[ユーザーを追加] ブラウザタブに戻ります。

4. [グループ] 領域で、[更新] ボタンを選択します。- Admin team グループがリストに表示されます。

   の横にあるチェックボックスをオンにします。Admin team、次へ を選択します。

5. [ユーザーの確認と追加] ページで、次のことを確認します。

   • 主要情報は意図したとおりに表示されます。

   • グループには、作成したグループに追加されたユーザーが表示されます。

   変更するには、[Edit] (編集) を選択します。すべての情報が正しければ、[ユーザーを追加] を選択します。

   ユーザーが追加されたことを知らせる通知メッセージが表示されます。

次に、 の管理権限を追加します。Admin team グループ化して Nikki は リソースにアクセスできます。

ステップ 2: 管理者アクセス許可を追加する

1. IAM Identity Center ナビゲーションペインのマルチアカウントアクセス許可 で、 AWS アカウント.

2. リポジトリの []AWS アカウント 「組織構造」ページには、組織とその下のアカウントが階層に表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

   1. ステップ 1: ユーザーとグループを選択するには、Admin team 作成した グループ。次いで、[次へ] を選択します。

   2. [ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

         • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

         • 事前定義されたアクセス許可セット のポリシーで、 を選択しますAdministratorAccess。

         [Next (次へ)] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

         デフォルト設定では、 という名前のアクセス許可セットが作成されます。AdministratorAccess セッション時間を 1 時間に設定した 。アクセス許可セットの名前を変更するには、アクセス許可セット名フィールドに新しい名前を入力します。

      3. ステップ 3: を確認して作成する で、アクセス許可セットタイプが を使用していることを確認します。 AWS マネージドポリシー AdministratorAccess。[Create] (作成) を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      [アクセス許可セット] 領域で、[更新] ボタンを選択します。- AdministratorAccess 作成した アクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択し、次へ を選択します。

   3. ステップ 3: 割り当てを確認して送信するページで、Admin team グループが選択され、AdministratorAccess アクセス許可セットを選択し、 の作成を選択します。

      ページが更新され、 AWS アカウント は設定中です。プロセスが完了するまで待ちます。

      に戻ります。 AWS アカウント ページ。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されました。

お疲れ様でした。

最初のユーザー、グループ、アクセス許可セットが正常に設定されました。

このチュートリアルの次の部分では、Nikki's にサインインして にアクセスする AWS 管理者認証情報を使用して アクセスポータルにアクセスし、パスワードを設定します。すぐにコンソールからサインアウトします。

ステップ 3: ユーザーアクセスのテスト

ここで Nikki Wolf は組織内のユーザーであり、サインインして、アクセス許可セットに従ってアクセス許可が付与されているリソースにアクセスできます。ユーザーが正しく設定されていることを確認するには、次のステップで を使用します。Nikki's 認証情報を使用してサインインし、パスワードを設定します。ユーザーを追加したとき Nikki Wolf ステップ 1 では、Nikki パスワードの設定手順が記載された E メールが届きます。この E メールを開いて、以下の操作を行います。

1. E メール内の [招待を承認] リンクを選択して招待を承諾します。

   注記

   E メールには、 も含まれます。Nikki's ユーザー名と AWS 組織へのサインインURLに使用する アクセスポータル。将来使用するためにこの情報を記録します。

   設定できる新規ユーザーのサインアップページが表示されます。Nikki's パスワード。

2. 設定後 Nikki's パスワード、サインインページに移動します。Enter nikkiw 次へ を選択し、「」と入力します。Nikki's パスワード を選択し、サインイン を選択します。

3. - AWS アクセスポータルが開き、アクセスできる組織とアプリケーションが表示されます。

   組織を選択して のリストに展開します。 AWS アカウント 次に、アカウントを選択して、アカウントのリソースにアクセスするために使用できるロールを表示します。

   各アクセス許可セットには、ロールキー またはアクセスキー の 2 つの管理方法があります。

   • ロール など AdministratorAccess - を開きます AWS Console Home.

   • アクセスキー - で使用できる認証情報を提供します AWS CLI または および AWS SDK。自動的に更新される短期認証情報または短期アクセスキーのいずれかを使用するための情報が含まれます。詳細については、「の IAM Identity Center ユーザー認証情報の取得 AWS CLI または AWS SDKs」を参照してください。

4. ロールリンクを選択して にサインインします。 AWS Console Home.

サインインし、 AWS Console Home ページ。コンソールを表示して、期待どおりのアクセス許可があることを確認します。

次のステップ

IAM Identity Center で管理ユーザーを作成したので、次のことができます。

• アプリケーションを割り当てる

• 他のユーザーを追加する

• ユーザーをアカウントに割り当てる

• 追加のアクセス許可セットを設定する

  注記

  同じユーザーに複数のアクセス許可セットを割り当てることもできます。最小権限の権限を適用するというベストプラクティスに従うには、管理ユーザーを作成した後に、より制限の厳しいアクセス権限セットを作成して同じユーザーに割り当てます。これにより、 にアクセスできます。 AWS アカウント 管理者アクセス許可ではなく、必要なアクセス許可のみを持つ 。

ユーザーが自分のアカウントをアクティブ化するための招待を承諾し、 にサインインした後 AWS アクセスポータルでは、ポータルに表示される項目は、 AWS アカウント、ロール、およびそれらが割り当てられているアプリケーション。

重要

ユーザーに対して多要素認証 (MFA) を有効にすることを強くお勧めします。詳細については、「Identity Center ユーザー用の多要素認証」を参照してください。