IAM ユーザーが AWS にサインインする方法 - AWS Identity and Access Management

IAM ユーザーが AWS にサインインする方法

IAM ユーザーとして AWS Management Console にサインインするには、ユーザー ID またはアカウントエイリアスを入力する必要があります。管理者がコンソールで IAM ユーザーを作成しましたにサインインすると、ユーザー名とアカウント ID またはアカウントエイリアスを含むアカウントサインインページの URL など、サインイン認証情報が送信されたはずです。

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
ヒント

ウェブブラウザでアカウントのサインインページのブックマークを作成するには、アカウントのサインイン URL を手動でブックマークエントリに入力する必要があります。ウェブブラウザのブックマーク機能は使用しないでください。リダイレクトによってサインイン URL が不明確になるからです。

また、次の一般サインインエンドポイントでサインインして、アカウント ID またはアカウントエイリアスを手動で入力することもできます。

https://console.aws.amazon.com/

利便性のため、AWS サインインページはブラウザ cookie を使用して IAM ユーザー名とアカウント情報を記憶します。次回、ユーザーが任意のページに移動したとき、AWS Management Console コンソールは Cookie を使用して、ユーザーをアカウントのサインインページにリダイレクトします。

管理者が IAM ユーザーIDに関連付けられているポリシーで指定した AWS リソースにのみアクセスできます。ユーザーがコンソールで操作するには、AWS リソースのリスト表示や作成など、コンソールが実行するアクションの実行権限が必要です。詳細については、AWS リソースの アクセス管理およびIAM アイデンティティベースのポリシーの例を参照してください。

注記

組織に既存のアイデンティティシステムがある場合は、Single Sign-On (SSO) オプションを作成することができます。SSO を使用すると、ユーザーは IAM ユーザーアイデンティティを持たなくてもアカウントの AWS Management Console にアクセスできます。SSO では、ユーザーが組織のサイトにサインインしたり、AWS に個別にサインインする必要もなくなります。詳細については、「AWS コンソールへのカスタム ID ブローカーアクセスを有効にする」を参照してください。

CloudTrail でのログ記録サインインの詳細

CloudTrail を有効化してログにサインインイベントを記録する場合、CloudTrail がイベントを記録する場所を選択するしくみを認識しておく必要があります。

  • ユーザーがコンソールに直接サインインすると、選択されたサービスのコンソールがリージョンをサポートするかどうかによって、グローバルまたはリージョンのサインインエンドポイントにリダイレクトされます。例えば、メインコンソールのホームページはリージョンをサポートするため、次の URL にサインインした場合:

    https://alias.signin.aws.amazon.com/console

    https://us-east-2.signin.aws.amazon.com などののリージョンのサインインエンドポイントにリダイレクトされ、そのリージョンのログでリージョンの CloudTrail ログエントリとなります。

    一方、Amazon S3 コンソールはリージョンをサポートしないため、次の URL にサインインした場合:

    https://alias.signin.aws.amazon.com/console/s3

    AWS により https://signin.aws.amazon.com にあるグローバルのサインインエンドポイントにリダイレクトされ、グローバルの CloudTrail ログエントリとなります。

  • リージョン対応のメインコンソールのホームページで次のような URL 構文を使ってサインインすることにより、手動で特定のリージョンのサインインエンドポイントをリクエストすることができます。

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS により ap-southeast-1 リージョンサインインエンドポイントにリダイレクトされ、そのリージョンの CloudTrail ログイベントとなります。

CloudTrail と IAM の詳細については、「CloudTrail による IAM イベントのログ記録」を参照してください。

ユーザーが、アカウントの操作のためにプログラムによるアクセスが必要な場合は、各ユーザーにアクセスキーペア (アクセスキー ID とシークレットアクセスキー) を作成できます。ただし、ユーザーのアクセスキーを作成する前に検討すべきより安全な代替手段があります。詳細については、「AWS 全般のリファレンス」の「長期的なアクセスキーの考慮事項と代替方法」を参照してください。