デフォルトの IAM アイデンティティセンターディレクトリを使用してユーザーアクセスを設定する
IAM アイデンティティセンターを初めて有効にすると、Identity Center ディレクトリがデフォルトの ID ソースとして自動的に構成されるため、ID ソースを選択する必要はありません。組織が、AWS Directory Service for Microsoft Active Directory、Microsoft Entra ID または Okta などの別の ID プロバイダーを使用している場合、デフォルト設定を使用する代わりに、その ID ソースを IAM アイデンティティセンターと統合することを検討してください。
目的
このチュートリアルでは、デフォルトディレクトリを ID ソースとして使用し、ユーザーアクセスを設定してテストします。このシナリオでは、IAM アイデンティティセンターですべてのユーザーとグループを管理します。ユーザーは AWS アクセスポータルを通じてサインインします。このチュートリアルは、AWS を初めて使用するユーザー、または IAM を使用してユーザーとグループを管理しているユーザーを対象としています。次のステップでは、以下を作成します。
-
Nikki Wolf
という名前の管理ユーザー -
管理チーム
という名前のグループ。 -
AdminAccess
という名前のアクセス許可セット
すべてが正しく作成されたことを確認するには、サインインして管理ユーザーのパスワードを設定します。このチュートリアルを完了すると、管理ユーザーを使用して IAM アイデンティティセンターにユーザーを追加したり、アクセス許可セットを追加したり、アプリケーションへの組織的なアクセスを設定したりできます。
IAM アイデンティティセンターをまだ有効にしていない場合は、「AWS IAM Identity Center の有効化」を参照してください。
以下のいずれかを行って、AWS Management Console にサインインします。
-
新規の AWS (ルートユーザー) – [AWS アカウント ルートユーザー] を選択し、AWS アカウント の E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。
-
すでに使用している AWS (IAM 認証情報) — 管理者権限を持つ IAM 認証情報を使用してサインインします。
-
IAM アイデンティティセンターナビゲーションペインで、[ユーザー] を選択し、[ユーザーの追加] を選択します。
-
[ユーザーの詳細を指定] ページで、次の情報を入力します。
-
[ユーザー名] - このチュートリアルでは、
nikkiw
と入力します。ユーザーを作成するときは、覚えやすいユーザー名を選択してください。ユーザーは AWS アクセスポータルにサインインする際にユーザー名を覚えておく必要があり、後で変更することはできません。
-
[パスワード] - [このユーザーにパスワード設定の手順を記載した E メールを送信 (推奨)] を選択します。
このオプションでは、Amazon Web Services からユーザーに「Invitation to join IAM Identity Center」という件名の E メールが送信されます。E メールは、
no-reply@signin.aws
またはno-reply@login.awsapps.com
から送信されます。これらの E メールアドレスを承認済み送信者リストに追加してください。 -
[E メールアドレス] - メールを受信できるユーザーの E メールアドレスを入力します。確認のため再入力します。各ユーザーは一意の E メールアドレスを持っている必要があります。
-
[名] - ユーザーの名を入力します。このチュートリアルでは、
Nikki
と入力します。 -
[姓] - ユーザーの姓を入力します。このチュートリアルでは、
Wolf
と入力します。 -
[表示名] - デフォルト値は、ユーザーの名と姓です。表示名を変更したい場合は、別の名前を入力できます。表示名はサインインポータルとユーザーリストに表示されます。
-
必要に応じてオプション情報を入力します。このチュートリアルでは使用されないので、後で変更できます。
-
-
[次へ] を選択します。[ユーザーをグループに追加] ページが表示されます。
Nikki
に直接アクセス許可を与えるのではなく、管理者のアクセス許可を割り当てるグループを作成します。[グループを作成] を選択する
新しいブラウザタブで [グループの作成] ページが開きます。
-
[グループの詳細] の [グループ名] に、グループの名前を入力します。グループのロールを識別するグループ名を使用することをおすすめします。このチュートリアルでは、
Admin team
と入力します。 -
[グループを作成] を選択する
-
[グループ] ブラウザータブを閉じて、[ユーザーを追加] ブラウザタブに戻ります。
-
-
[グループ] 領域で、[更新] ボタンを選択します。
管理チーム
グループがリストに表示されます。[管理チーム]
の横にあるチェックボックスをオンにし、[次へ] を選択します。 -
[ユーザーの確認と追加] ページで、次のことを確認します。
-
主要情報は意図したとおりに表示されます。
-
グループには、作成したグループに追加されたユーザーが表示されます。
変更するには、[Edit] (編集) を選択します。すべての情報が正しければ、[ユーザーを追加] を選択します。
ユーザーが追加されたことを知らせる通知メッセージが表示されます。
-
次に、管理チーム
グループの管理アクセス許可を追加して、Nikki
がリソースにアクセスできるようにします。
-
IAM アイデンティティセンターのナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。
-
[AWS アカウント] ページの[組織構造] には、自分の組織とその下のアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。
-
[ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。
-
[ステップ 1: ユーザーとグループの選択] では、作成した
管理チーム
グループを選択します。次いで、[次へ] を選択します。 -
[ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。
-
[ステップ 1: 許可セットタイプを選択] では、以下を完了します。
-
[許可セットのタイプ] で、[事前定義された許可セット] を選択します。
-
[事前定義された許可セットのポリシー] で [AdministratorAccess] を選択します。
[次へ] を選択します。
-
-
[ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。
デフォルト設定では、
AdministratorAccess
という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。アクセス許可セットの名前を変更するには、[アクセス許可セット名] フィールドに新しい名前を入力します。 -
[ステップ 3: 確認して作成] では、[許可セットのタイプ] が AWS 管理ポリシー [AdministratorAccess] を使用していることを確認します。[Create] (作成) を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。
[ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。
[アクセス許可セット] 領域で、[更新] ボタンを選択します。作成した
AdministratorAccess
許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択して、[次へ] を選択します。 -
-
[ステップ 3: 割り当ての確認と送信] ページで、
[管理者チーム]
グループが選択されていることと、AdministratorAccess
許可セットが選択されていることを確認し、[送信] を選択します。ページが更新され、AWS アカウント が設定中であることを示すメッセージが表示されます。プロセスが完了するまで待ちます。
AWS アカウント ページに戻ります。AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを知らせる通知メッセージが表示されます。
-
お疲れ様でした。
最初のユーザー、グループ、アクセス許可セットが正常に設定されました。
このチュートリアルの次の部分では、管理者認証情報を使用して AWS アクセスポータルにサインインし、パスワードを設定して Nikki
のアクセスをテストします。すぐにコンソールからサインアウトします。
これで Nikki Wolf
は組織のユーザーになりました。Nikki Wolf は、サインインして、アクセス許可セットに従ってアクセス許可が付与されているリソースにアクセスできます。ユーザーが正しく設定されていることを確認するために、次のステップでは Nikki
の認証情報を使用してサインインし、パスワードを設定します。ステップ 1 でユーザー Nikki Wolf
を追加したときに、Nikki
にパスワード設定手順が記載された E メールが送信されるように選択しました。この E メールを開いて、以下の操作を行います。
-
E メール内の [招待を承認] リンクを選択して招待を承諾します。
注記
E メールには、
Nikki
のユーザー名と、組織へのサインインに使用する AWS アクセスポータル URL も含まれています。将来使用するためにこの情報を記録します。Nikki
のパスワードを設定できる [新規ユーザーのサインアップ] ページが表示されます。 -
Nikki
のパスワードを設定すると、[サインイン] ページに移動します。nikkiw
と入力して [次へ] を選択し、Nikki
のパスワードを入力して [サインイン] を選択します。 -
AWS アクセスポータルが開き、アクセス可能な組織とアプリケーションが表示されます。
組織を選択して AWS アカウント のリストを展開し、アカウントを選択すると、アカウント内のリソースへのアクセスに使用できるロールが表示されます。
各アクセス許可セットには、ロール方式とアクセスキー方式の 2 つの管理方式があります。
-
ロール方式、例えば
AdministratorAccess
の場合、AWS Console Homeを開きます。 -
アクセスキー方式の場合、AWS CLI および/または AWS SDK で使用できる認証情報が提供されます。自動的に更新される短期認証情報または短期アクセスキーのいずれかを使用するための情報が含まれます。詳細については、「AWS CLI または AWS SDK の IAM Identity Center のユーザー認証情報を取得します。」を参照してください。
-
-
[ロール] のリンクを選択して AWS Console Homeにサインインします。
サインインし、AWS Console Home ページに移動しました。コンソールを表示して、期待どおりのアクセス許可があることを確認します。
IAM アイデンティティセンターで管理ユーザーを作成したため、次のことができるようになりました。
-
注記
同じユーザーに複数のアクセス許可セットを割り当てることもできます。最小権限の権限を適用するというベストプラクティスに従うには、管理ユーザーを作成した後に、より制限の厳しいアクセス権限セットを作成して同じユーザーに割り当てます。そうすれば、管理者権限ではなく、必要な権限のみで AWS アカウント にアクセスできるようになります。
ユーザがアカウントを有効化するための招待を受け入れ、AWS アクセスポータルにサインインすると、ポータルに表示されるのは、割り当てられている AWS アカウント、ロール、アプリケーションに関する項目だけです。
重要
ユーザーに対して多要素認証 (MFA) を有効にすることを強くお勧めします。詳細については、「Identity Center ユーザー用の多要素認証」を参照してください。