シングルサインオンアクセス - AWSシングルサインオン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

シングルサインオンアクセス

接続ディレクトリのユーザー権限を、管理アカウントまたはメンバーアカウントに割り当てることができます。AWS Organizationsに基づく組織共通職務機能。または、特定のセキュリティ要件を満たすようにカスタムのアクセス許可を使用することもできます。たとえば、データベース管理者には、開発用アカウントでは Amazon RDS に対する広範なアクセス権限を付与しますが、本番稼働用アカウントではそれらのアクセス権限を制限します。AWSSSO は、必要なすべてのユーザーアクセス権限をAWSアカウントを自動的に作成します。

注記

操作するには、ユーザーまたはグループに権限を付与する必要がある場合があります。AWS Organizationsマネジメントアカウント。このアカウントは高度な特権を持つアカウントであるため、追加のセキュリティ制限では、IAMFullAccessポリシーまたは同等の権限を設定する前に、この権限を使用します。これらの追加のセキュリティ制限は、AWS 組織のどのメンバーアカウントにも必要ありません。

ユーザーアクセスを割り当てる

接続先ディレクトリのユーザーとグループに SSO アクセスを割り当て、アクセス権限セットによってそれらのユーザーとグループのアクセスレベルを決定するには、以下の手順を実行します。

注記

アクセス権限の管理をシンプルにするために、個々のユーザーではなくグループに直接アクセスを割り当てることをお勧めします。グループを使用すると、個々のユーザーにこれらのアクセス権限を適用するのではなく、ユーザーグループに対してアクセス権限を付与または拒否できます。ユーザーが別の組織に異動した場合、そのユーザーを別のグループに移動するだけで、新しい組織に必要なアクセス権限がそのユーザーに自動的に付与されます。

ユーザーまたはグループにアクセスを割り当てるには

  1. を開くAWSSSO コンソール

    注記

    次のことを確認してください。AWSSSO コンソールでは、リージョンを使用してAWS Managed Microsoft ADディレクトリは、次のステップに進む前に表示されます。

  2. [AWS アカウント] を選択します。

  3. AWS組織] タブの [AWSアカウントで、アクセスを割り当てる 1 つ以上のアカウントを選択します。

    注記

    -AWSSSO コンソールでは、ユーザーアクセスを割り当てる際に、権限セットごとに一度に最大 10 個の AWS アカウントを選択できます。同じユーザーセットに 10 個以上の AWS アカウントを割り当てる必要がある場合は、追加のアカウントに対してこの手順を繰り返し、プロンプトが表示されたら、同じユーザーとアクセス権セットを選択します。

  4. [ユーザーの割り当て] を選択します。

  5. リポジトリの []ユーザーまたはグループの選択ページで、ユーザーまたはグループの名前を入力して、結果を絞り込みます。複数のユーザーまたはグループを指定するには、検索結果に表示される該当するアカウントを選択し、[次へ: アクセス権限セット

  6. リポジトリの []アクセス権限セットを選択します。ページで、ユーザーまたはグループに適用するアクセス許可セットを一覧から選択します。次に、[完了] を選択します。ニーズを満たすアクセス許可が一覧にない場合は、必要に応じて [新しいアクセス許可セットの作成] を選択できます。詳細な手順については、「」を参照してくださいアクセス許可セットを作成します。

  7. [完了] を選択すると、AWS アカウントの設定プロセスが開始されます。

    重要

    ユーザーへの割り当てプロセスが完了するまでに数分かかることがあります。プロセスが正常に完了するまでこのページを開いたままにすることが重要です。

    注記

    操作するには、ユーザーまたはグループに権限を付与する必要がある場合があります。AWS Organizationsマネジメントアカウント。このアカウントは高度な特権を持つアカウントであるため、追加のセキュリティ制限では、IAMFullAccessポリシーまたは同等の権限を設定する前に、この権限を使用します。これらの追加のセキュリティ制限は、AWS 組織のどのメンバーアカウントにも必要ありません。

ユーザーアクセスを削除する

接続先ディレクトリ内の特定のユーザーまたはグループから AWS アカウントへの SSO アクセスを削除する必要がある場合は、以下の手順を実行します。

AWS アカウントからユーザーアクセスを削除するには

  1. を開くAWSSSO コンソール

  2. [AWS アカウント] を選択します。

  3. 一覧で、アクセスを削除するユーザーまたはグループの AWS アカウントを選択します。

  4. アカウントの [詳細AWS] ページの [割り当てられたユーザーとグループ] で、一覧からユーザーまたはグループを見つけます。次に、[アクセスの削除] を選択します。

  5. [アクセスの削除] ダイアログボックスで、そのユーザーまたはグループの名前を確認します。次に、[アクセスの削除] を選択します。

管理アカウントのユーザーに SSO アクセスを割り当てることができる代理人

管理アカウントへのシングルサインオンアクセスを割り当てるには、AWSSSO コンソールは、特権のあるアクションです。デフォルトでは、AWSアカウントの root ユーザー、またはAWSSOMASTERアカウント管理者およびIAMFullAccess AWS管理ポリシーがアタッチされている場合、管理アカウントに SSO アクセスを割り当てることができます。-AWSSOMASTERアカウント管理者およびIAMFullAccessポリシーは、管理アカウントへの SSO アクセスを管理します。AWS Organizations組織。

ディレクトリ内のユーザーへの SSO アクセスを管理するためにアクセス許可を委任するには、次の手順を実行します。

ディレクトリ内のユーザーへの SSO アクセスを管理するためのアクセス許可を付与するには

  1. にサインインします。AWSSSO コンソールを管理アカウントのルートユーザーまたは管理アカウントに IAM 管理者アクセス許可を持つ別の IAM ユーザーとして。

  2. アクセス許可セットを作成します。 の手順に従ってアクセス許可セットを作成します。あなたが取得すると、新しいアクセス許可セットを作成します。[] ページで [] を選択します。カスタムアクセス権限セットを作成オプションで、次へ: の詳細] をクリックし、オプションアタッチAWSマネージドポリシー。テーブルに表示される IAM ポリシーのリストで、[AWSSOMASTERアカウント管理者およびIAMFullAccess AWS管理ポリシーの場合 これらのポリシーは、将来的にこのアクセス許可セットへのアクセスが割り当てられるすべてのユーザーにアクセス許可を付与します。

  3. 作成したアクセス許可セットに適切なユーザーを割り当てるには、手順 ユーザーアクセスを割り当てる に従います。

  4. 割り当てられたユーザーに次のことを伝えます。ユーザーポータルにサインインして、[AWSアカウントアイコンをクリックすると、委任したアクセス許可によって認証されるには、適切な IAM ロール名を選択する必要があります。