へのシングルサインオンアクセス AWS アカウント - AWS IAM Identity Center
へのユーザーアクセスを割り当てる AWS アカウントユーザーとグループのアクセス権限を削除アクティブなアクセス許可セットセッションを取り消すマスターアカウントでユーザーとグループにシングルサインオン・アクセスを割り当てる権限を委任する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

へのシングルサインオンアクセス AWS アカウント

接続されたディレクトリ内のユーザーには、一般的な職務機能 AWS Organizations に基づいて、 の管理アカウントまたは組織内のメンバーアカウントに許可を割り当てることができます。または、特定のセキュリティ要件を満たすようにカスタムのアクセス権限を使用することもできます。例えば、データベース管理者には、開発用アカウントでは Amazon RDS に対する広範なアクセス権限を付与しますが、本番稼働用アカウントではそれらのアクセス権限を制限します。IAM Identity Center によって、 AWS アカウント で必要なすべてのユーザーアクセス権限が自動的に設定されます。

注記

AWS Organizations 管理アカウントで運用するためのアクセス許可をユーザーまたはグループに付与する必要がある場合があります。権限の高いアカウントであるため、追加のセキュリティ制限により、これを設定する前に IAMFullAccess ポリシーまたは同等のアクセス許可が必要です。これらの追加のセキュリティ制限は、 AWS 組織内のメンバーアカウントでは必要ありません。

へのユーザーアクセスを割り当てる AWS アカウント

接続先ディレクトリのユーザーとグループにシングルサインオン・アクセスを割り当て、アクセス権限セットによってそれらのユーザーとグループのアクセスレベルを決定するには、以下の手順を実行します。

既存のユーザーおよびグループのアクセスを確認するには、「」を参照してくださいユーザーとグループの割り当てを表示する

注記

アクセス権限の管理をシンプルにするために、個々のユーザーではなくグループに直接アクセスを割り当てることをお勧めします。グループを使用すると、個々のユーザーにこれらのアクセス権限を適用するのではなく、ユーザーグループに対してアクセス権限を付与または拒否できます。ユーザーが別の組織に異動した場合、そのユーザーを別のグループに移動するだけで、新しい組織に必要なアクセス権限がそのユーザーに自動的に付与されます。

ユーザーまたはグループアクセスを に割り当てるには AWS アカウント

  1. IAM Identity Center コンソール を開きます。

    注記

    次のステップに進む前に、IAM Identity Center コンソールで、 AWS Managed Microsoft AD ディレクトリが存在するリージョンを使用していることを確認してください。

  2. ナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。

  3. [AWS アカウント] ページには、組織のツリービューリストが表示されます。シングルサインオンアクセスを割り当てる 1 つまたは複数の AWS アカウント の横にあるチェックボックスをオンにします。

    注記

    ユーザーとグループにシングルサインオンアクセスを割り当てる場合 AWS アカウント 、アクセス許可セットごとに一度に最大 10 を選択できます。10 個を超えるユーザーとグループ AWS アカウント を同じセットに割り当てるには、追加のアカウントで必要に応じてこの手順を繰り返します。プロンプトが表示されたら、同じユーザー、グループ、権限セットを選択します。

  4. [ユーザーまたはグループの割り当て] を選択します。

  5. ステップ 1: ユーザーとグループの選択では、ユーザーとグループを「AWS-account-name」に割り当てるページで、次の操作を行います。

    1. [ユーザー] タブで、シングルサインオン・アクセスを許可するユーザーを 1 人以上選択します。

      結果をフィルタリングするには、検索ボックスに目的のユーザーの名前を入力します。

    2. [グループ] タブで、シングルサインオン・アクセスを許可するグループを 1 つ以上選択します。

      結果をフィルターする場合は、検索ボックスに目的のグループの名前を入力します。

    3. 選択したユーザーとグループを表示するには、[選択したユーザーとグループ] の横にある横向きの三角形を選択します。

    4. 正しいユーザーとグループが選択されたことを確認したら、[次へ] を選択します。

  6. ステップ 2: 権限セットの選択では、権限セットを「AWS-account-name」に割り当てるページで、次の操作を行います。

    1. 1 つまたは複数の権限セットを選択します。必要に応じて、新しい権限セットを作成して選択できます。

      • 1 つ以上の既存の権限セットを選択するには、[権限セット] で、前のステップで選択したユーザーとグループに適用する権限セットを選択します。

      • 1 つ以上の新しい権限セットを作成するには、[権限セットの作成] を選択し、アクセス権限セットを作成します。 の手順に従います。適用する権限セットを作成したら、IAM Identity Center コンソールで「AWS アカウント」に戻り、「ステップ 2: 権限セットを選択する」が表示されるまで指示に従います。このステップに到達したら、作成した新しい権限セットを選択し、この手順の次のステップに進みます。

    2. 正しい権限セットが選択されていることを確認したら、[次へ] を選択します。

  7. ステップ 3: 確認して送信では、AWS-account-name」への課題のレピューと提出ページで、次の操作を行います。

    1. 選択したユーザ、グループ、権限セットを確認します。

    2. 正しいユーザ、グループ、権限セットが選択されていることを確認したら、[提出] を選択します。

      重要

      ユーザーとグループへの割り当てプロセスが完了するまでに数分かかることがあります。プロセスが正常に完了するまで、このページを開いたままにしておきます。

      注記

      AWS Organizations 管理アカウントで運用するためのアクセス許可をユーザーまたはグループに付与する必要がある場合があります。権限の高いアカウントであるため、追加のセキュリティ制限により、これを設定する前に IAMFullAccess ポリシーまたは同等のアクセス許可が必要です。これらの追加のセキュリティ制限は、 AWS 組織内のメンバーアカウントでは必要ありません。

ユーザーとグループのアクセス権限を削除

この手順を使用して、接続されたディレクトリ内の AWS アカウント 1 つ以上のユーザーとグループの へのシングルサインオンアクセスを削除します。

へのユーザーおよびグループのアクセスを削除するには AWS アカウント

  1. IAM Identity Center コンソール を開きます。

  2. ナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。

  3. [AWS アカウント] ページには、組織のツリービューリストが表示されます。シングルサインオンアクセスを削除するユーザーとグループ AWS アカウント を含む の名前を選択します。

  4. の概要ページの「割り当てられたユーザーとグループ AWS アカウント」で、1 つ以上のユーザーまたはグループの名前を選択し、「アクセスの削除」を選択します。

  5. [アクセス許可の削除] ダイアログで、ユーザーまたはグループの名前が正しいことを確認し、[アクセス許可の削除] を選択します。

アクセス許可セットによって作成されたアクティブな IAM ロールセッションを取り消す

以下は、IAM Identity Center ユーザーのアクティブなアクセス許可セットセッションを取り消すための一般的な手順です。この手順では、認証情報を侵害されたユーザーまたはシステム内の悪意のあるアクターに対するすべてのアクセスを削除することを前提としています。前提条件は、「」のガイダンスに従うことですアクセス許可セットによって作成されたアクティブな IAM ロールセッションを取り消すための準備。すべてのポリシーの拒否がサービスコントロールポリシー (SCP) に存在することを前提としています。

注記

AWS では、コンソールのみのオペレーションを除くすべてのステップを処理するオートメーションを構築することをお勧めします。

  1. アクセスを取り消す必要があるユーザーのユーザー ID を取得します。ID ストア APIsを使用して、ユーザー名でユーザーを検索できます。

  2. 拒否ポリシーを更新して、サービスコントロールポリシー (SCP) のステップ 1 のユーザー ID を追加します。このステップを完了すると、ターゲットユーザーはアクセスを失い、ポリシーが影響するロールでアクションを実行できなくなります。

  3. ユーザーのアクセス許可セットの割り当てをすべて削除します。グループメンバーシップを通じてアクセスが割り当てられている場合は、すべてのグループとすべての直接アクセス許可セットの割り当てからユーザーを削除します。このステップにより、ユーザーは追加の IAM ロールを引き受けることができません。ユーザーがアクティブな AWS アクセスポータルセッションを持っていて、ユーザーを無効にすると、アクセスを削除するまで新しいロールを引き受け続けることができます。

  4. ID プロバイダー (IdP) または Microsoft Active Directory を ID ソースとして使用する場合は、ID ソースのユーザーを無効にします。 ユーザーを無効にすると、追加の AWS アクセスポータルセッションが作成されなくなります。IdP または Microsoft Active Directory API ドキュメントを使用して、このステップを自動化する方法について説明します。IAM Identity Center ディレクトリを ID ソースとして使用している場合は、まだユーザーアクセスを無効にしないでください。ステップ 6 では、ユーザーアクセスを無効にします。

  5. IAM Identity Center コンソールでユーザーを検索し、アクティブなセッションを削除します。

    1. [ユーザー] を選択します。

    2. アクティブなセッションを削除するユーザーを選択します。

    3. ユーザーの詳細ページで、アクティブセッションタブを選択します。

    4. 削除するセッションの横にあるチェックボックスをオンにし、セッションの削除 を選択します。

    これにより、ユーザーの AWS アクセスポータルセッションは約 60 分以内に停止します。セッション期間 について説明します。

  6. IAM Identity Center コンソールで、ユーザーアクセスを無効にします。

    1. [ユーザー] を選択します。

    2. アクセスを無効にするユーザーを選択します。

    3. ユーザーの詳細ページで、一般情報を展開し、ユーザーアクセスの無効化ボタンを選択して、ユーザーのログインがこれ以上発生しないようにします。

  7. 拒否ポリシーは、少なくとも 12 時間そのままにします。それ以外の場合、アクティブな IAM ロールセッションを持つユーザーは、IAM ロールでアクションを復元します。12 時間待機すると、アクティブなセッションは期限切れになり、ユーザーは IAM ロールに再度アクセスできなくなります。

重要

ユーザーセッションを停止する前にユーザーのアクセスを無効にした場合 (ステップ 5 を完了せずにステップ 6 を完了した場合)、IAM Identity Center コンソールからユーザーセッションを停止できなくなります。ユーザーセッションを停止する前にユーザーアクセスを誤って無効にした場合は、ユーザーを再度有効にしてセッションを停止し、再度アクセスを無効にできます。

パスワードが侵害された場合にユーザーの認証情報を変更し、割り当てを復元できるようになりました。

マスターアカウントでユーザーとグループにシングルサインオン・アクセスを割り当てる権限を委任する

IAM Identity Center コンソールを使用して、管理アカウントへのシングルサインオン・アクセスを割り当てるのは特権的アクションです。デフォルトでは、 AWS アカウントのルートユーザー または AWSSSOMasterAccountAdministratorIAMFullAccess AWS 管理ポリシーがアタッチされているユーザーのみが、管理アカウントにシングルサインオンアクセスを割り当てることができます。AWSSSOMasterAccountAdministrator および IAMFullAccessポリシーは、 AWS Organizations 組織内の管理アカウントへのシングルサインオンアクセスを管理します。

ディレクトリ内のユーザーへのシングルサインオン・アクセスを管理するためにアクセス権限を委任するには、次の手順を実行します。

ディレクトリ内のユーザーへのシングルサインオン・アクセスを管理するためのアクセス権限を付与するには

  1. 管理アカウントのルートユーザーまたは管理アカウントに IAM 管理者権限を持つ別の IAM ユーザーとして IAM Identity Center コンソールにサインインします。

  2. アクセス権限セットを作成します。 の手順に従って権限セットを作成し、次の操作を行います。

    1. [新しい権限セットの作成] ページで [カスタム権限セットの作成] チェックボックスをオンにし、[次へ:詳細] を選択します。

    2. [新しい権限セットの作成] ページで、カスタム権限セットの名前と、必要に応じて説明を指定します。必要に応じて、セッション期間を変更し、リレーステート URL を指定します。

      注記

      リレーステート URL には、 AWS Management Consoleに含まれている URL を指定する必要があります。例:

      https://console.aws.amazon.com/ec2/

      詳細については、「リレーステートの設定」を参照してください。

    3. [どのポリシーを権限セットに含めたいですか?] で、[ AWS 管理ポリシーを添付する] チェックボックスを選択します。

    4. IAM ポリシーのリストで、 AWSSSOMasterAccountAdministratorIAMFullAccess AWS の両方の管理ポリシーを選択します。これらのポリシーは、将来的にこのアクセス権限セットへのアクセスが割り当てられるすべてのユーザーとグループにアクセス権限を付与します。

    5. [Next: Tags] (次へ: タグ) を選択します。

    6. [Add tags (optional)] (タグの追加 (オプション)) で [Key] (キー) と [Value (optional)] (値 (オプション)) の値を指定して、[Next: Review] (次へ: レビュー) を選択します。タグの詳細については、AWS IAM Identity Center リソースのタグ付けを参照してください。

    7. 選択した値を確認したら、[Create] (作成) を選択します。

  3. へのユーザーアクセスを割り当てる AWS アカウント の手順に従って、作成した権限セットに適切なユーザーとグループを割り当てます。

  4. 割り当てられたユーザーに以下を伝える: AWS アクセスポータルにサインインし、Accounts タブを選択すると、委任したアクセス許可で認証される適切なロール名を選択する必要があります。