ユーザーディレクトリのセットアップ - Amazon Monitron
SSO 要件を理解するIAM アイデンティティセンターのネイティブディレクトリを使用して管理者ユーザーを追加するMicrosoft Active Directory を使用して管理者ユーザーを追加する 外部 ID プロバイダーを使用して管理ユーザーを追加するIAM アイデンティティセンターを使用して Amazon Monitron に戻る

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユーザーディレクトリのセットアップ

Amazon Monitron は AWS IAM Identity Center を使用してユーザーアクセスを管理します。ユーザーはこの IAM アイデンティティセンターのユーザーディレクトリから追加されます。

管理者ユーザーを追加する方法は、IAM アイデンティティセンターが組織でどのようにセットアップされているかによって異なります。

重要

Amazon Monitron では、アプリユーザーごとに E メールアドレスが必要です。Microsoft Active Directory や外部 ID プロバイダーなどのディレクトリを使用する場合は、ユーザーの E メールアドレスが追加され、同期されていることを確認する必要があります。

SSO 要件を理解する

プロジェクトを作成すると、Amazon Monitron は IAM アイデンティティセンターがお客様のアカウントで有効化および設定されているかどうか、そして Amazon Monitron で IAM アイデンティティセンターを使用するためのすべての前提条件が満たされているかどうかを自動的に検出します。これらが実行されていない場合、Amazon Monitron はエラーを生成し、必要な前提条件のリストを提供します。管理者ユーザーを追加する前に、すべての前提条件を満たす必要があります。組織における IAM アイデンティティセンターの有効化と設定の詳細については、「AWS Single Sign-On」を参照してください。

重要

Amazon Monitron は、オプトインリージョンと政府リージョンを除くすべての IAM Identity Center リージョンをサポートします。以下のリストは、サポートされているリージョンです。

  • 米国東部 (バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アジアパシフィック(ムンバイ)

  • アジアパシフィック (東京)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (大阪)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • カナダ (中部)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (パリ)

  • 欧州 (ストックホルム)

  • 南米(サンパウロ)

IAM アイデンティティセンターの前提条件

IAM アイデンティティセンターをセットアップする前に、以下を行う必要があります。

  • まず AWS Organizations サービスをセットアップし、すべての機能を有効に設定します。この設定の詳細については、「AWS Organizations ユーザーガイド」の「組織内のすべての機能の有効化」を参照してください。

  • IAM Identity Center の設定を開始する前に、 AWS Organizations 管理アカウントの認証情報を使用してサインインします。IAM アイデンティティセンターの有効化にはこの認証情報が必要です。詳細については、「 ユーザーガイド」の AWS 「組織の作成と管理AWS Organizations 」を参照してください。組織のメンバーアカウントの認証情報を使用してサインインしている場合は、IAM アイデンティティセンターのセットアップを行えません。

  • ID ソースを選択して、ユーザーポータルへの SSO アクセスがあるユーザープールを決定します。ユーザーストアにデフォルトの IAM アイデンティティセンター ID ソースを使用するように選択した場合は、前提条件となるタスクは不要です。IAM アイデンティティセンターを有効にすると、IAM アイデンティティセンターストアがデフォルトで作成され、すぐに使用できる状態になります。このストアを使用してもコストは発生しません。また、Azure Active Directory を使用して、外部 ID プロバイダーに接続することもできます。ユーザーストアの既存の Active Directory に接続する場合は、以下の状態である必要があります。

    • に設定された既存の AD Connector または AWS Managed Microsoft AD ディレクトリ AWS Directory Service。組織の管理アカウント内に存在する必要があります。一度に接続できる AWS Managed Microsoft AD ディレクトリは 1 つのみです。ただし、いつでも別の AWS Managed Microsoft AD ディレクトリに変更したり、IAM Identity Center ストアに戻したりできます。詳細については、 AWS Directory Service 管理ガイドAWS Managed Microsoft AD 「ディレクトリの作成」を参照してください。

    • AWS Managed Microsoft AD ディレクトリがセットアップされているリージョンで IAM アイデンティティセンターをセットアップすること。IAM アイデンティティセンターでは、割り当てデータをディレクトリと同じリージョンに保存します。IAM アイデンティティセンターを管理するには、IAM アイデンティティセンターをセットアップしたリージョンに切り替える必要があります。また、IAM アイデンティティセンターのユーザーポータルでは、接続されたディレクトリと同じアクセス URL が使用されます。

  • 現在、次世代ファイアウォール (NGFW) やセキュアウェブゲートウェイ (SWG) などのウェブコンテンツフィルタリングソリューションを使用して、特定の Amazon Web Service (AWS) ドメインや URL エンドポイントへのアクセスをフィルタリングしている場合、IAM アイデンティティセンターを正しく機能させるには、以下のドメインや URL エンドポイントをウェブコンテンツフィルタリングソリューションの許可リストに追加する必要があります。

    特定の DNS ドメイン

    • *.awsapps.com (http://awsapps.com/)

    • *.signin.aws

    特定の URL エンドポイント

    • https://[お使いのディレクトリ].awsapps.com/start

    • https://[お使いのディレクトリ].awsapps.com/login

    • https://[お使いのリージョン].signin.aws/platform/login

IAM Identity Center を有効にする前に、アカウント AWS が IAM ロールのクォータ制限に近づいているかどうかを確認することを強くお勧めします。詳細については、「IAM オブジェクトクォータ」を参照してください。クォータ制限に近づいている場合は、クォータを引き上げることを検討してください。これを行わない場合、IAM ロールの制限を超えたアカウントにアクセス許可セットをプロビジョニングする際に、IAM アイデンティティセンターで問題が発生する可能性があります。

IAM アイデンティティセンターのネイティブディレクトリを使用して管理者ユーザーを追加する

管理者ユーザーをプロジェクトに追加する最も簡単な方法は、IAM アイデンティティセンターのネイティブディレクトリを使用することです。これは Amazon Monitron の使用を開始することで利用でき、IAM アイデンティティセンターを基本レベルで使用できるようになります。Amazon Monitron を使用する前に IAM アイデンティティセンターをセットアップし、ネイティブディレクトリを使用するように設定することもできます。どちらの方法でも、ユーザーを手動で追加でき、名前と E メールアドレス以外のユーザー ID 情報が他の管理者ユーザーに公開される可能性はありません。

IAM アイデンティティセンターのネイティブディレクトリを使用する際に管理者ユーザーを追加するには

  1. Amazon Monitron コンソール (https://console.aws.amazon.com/monitron) を開きます。

  2. [プロジェクトを作成] を選択します。

  3. ナビゲーションペインで目的のプロジェクトを選択します。

  4. [ユーザー] ページで、管理者ユーザーに割り当てるユーザーを選択します。ユーザーが表示されない場合は、そのユーザーを検索します。

    User interface showing a list of users with display names and email addresses.

    選択したユーザーは、[選択されたユーザー] セクションに表示されます。

  5. 目的のユーザーがディレクトリにいない場合は、[ユーザーを作成] をクリックしてユーザーを追加します。

    1. [ユーザーを作成][E メールアドレス] に、新しい管理者ユーザーのメールアドレスを入力します。

      Create user interface with fields for email address, first name, and last name.

    2. [名][姓] に管理者の名前を入力します。

    3. [ユーザーを作成] をクリックします。

  6. ユーザー名がディレクトリのリストに表示されたら、[追加] をクリックして選択した管理者ユーザーを追加します。

  7. Amazon Monitron モバイルアプリをダウンロードするためのリンクを含む、プロジェクトへの招待 E メールを管理者ユーザーに送信します。詳細については、「招待 E メールの送信」を参照してください。

    Amazon Monitron は、プロジェクトの [プロジェクト] ページに移動します。このページには、すべての管理者ユーザーがリストで表示されています。

    Project admin users interface showing a single user with display name, email, and username fields.

  8. 管理者ユーザーをさらに追加するには、[管理者を追加] をクリックします。

    管理者ユーザーは誰でも、Amazon Monitron モバイルアプリを使用してその他のユーザーを追加できます。詳細については、「Amazon Monitron ユーザーガイド」の「Adding a User」を参照してください。

Microsoft Active Directory を使用して管理者ユーザーを追加する

組織のプライマリユーザーディレクトリに Microsoft Active Directory (AD) を使用している場合は、Microsoft AD を使用するように IAM アイデンティティセンターを設定できます。IAM Identity Center では、 AWS Directory Service を使用して、自己管理型 Active Directory を AWS Managed Microsoft AD ディレクトリとして接続できます。この Microsoft AD ディレクトリは、Amazon Monitron コンソール (または Amazon Monitron モバイルアプリ) を使用してユーザーロールを割り当てる際に、プル元の ID プールを提供します。

重要

Amazon Monitron では、アプリユーザーごとに E メールアドレスが必要です。ユーザーの E メールアドレスが追加され、同期されていることを確認してください。

すべての Amazon Monitron 管理者ユーザーは、Amazon Monitron の IAM アイデンティティセンターで設定されているユーザーディレクトリの ID 情報にアクセスできます。ユーザーの組織情報へのアクセスを制限したい場合は、独立したディレクトリを使用することを強くお勧めします。

Microsoft Active Directory を使用して管理者ユーザーを追加するには

  1. Microsoft Active Directory に接続するように IAM アイデンティティセンターを設定します。これに含まれる手順は、セルフマネージド Active Directory と AWS Managed Microsoft AD ディレクトリのどちらを使用しているかによって異なります。詳細については、「Connect to Microsoft AD Directory」を参照してください。

  2. Amazon Monitron コンソール (https://console.aws.amazon.com/monitron) を開きます。

  3. [プロジェクトを作成] を選択します。

  4. ナビゲーションペインで目的のプロジェクトを選択します。

  5. [Active Directory ドメイン] で、ID を追加するディレクトリドメインを選択します。

    Active directory domain selection interface with user search results and selected users section.

  6. ユーザーディレクトリの検索方法に応じて、[ユーザー] または [グループ] を選択します。

  7. 検索ボックスに追加する ID の文字列を入力して、[検索] をクリックします。

    返されるユーザーの数を制限するには、検索ボックスに長い文字列を入力します。例えば、検索ボックスに「olg」と入力すると、「Olga Kurth」や「Jamie Folgman」など、名前に「olg」という文字が含まれるすべてのユーザーがリストに表示されます。

  8. 管理者ユーザーに割り当てるユーザーを選択します。

  9. [追加] をクリックして管理者ユーザーを追加します。

外部 ID プロバイダーを使用して管理ユーザーを追加する

外部 ID プロバイダー (IdP) を使用している場合は、Security Assertion Markup Language (SAML) 2.0 規格を経由して、そのプロバイダーを使用するように IAM アイデンティティセンターを設定できます。これにより、IdP ディレクトリ内の ID プールがわかります。Amazon Monitron コンソール (または Amazon Monitron モバイルアプリ) を使用する際にこのプールを取得し、そこに管理者ユーザーを割り当てることができます。これにより、ユーザーは企業の認証情報を使用して Amazon Monitron にサインインできるようになります。

重要

Amazon Monitron では、アプリユーザーごとに E メールアドレスが必要です。ユーザーの E メールアドレスが追加され、同期されていることを確認してください。

すべての Amazon Monitron 管理者ユーザーは、Amazon Monitron の IAM アイデンティティセンターで設定されているユーザーディレクトリの ID 情報にアクセスできます。ユーザーの組織情報へのアクセスを制限したい場合は、独立したディレクトリを使用することを強くお勧めします。

外部 ID プロバイダー (IdP) を使用して管理者ユーザーを追加するには

  1. 外部 IdP に接続するように AWS IAM Identity Center を設定します。これに関連するステップは、使用しているプロバイダーによって異なります。詳細については、「Connect to Your External ID Provider」を参照してください。

  2. Amazon Monitron コンソール (https://console.aws.amazon.com/monitron) を開きます。

  3. [プロジェクトを作成] を選択します。

  4. ナビゲーションペインで目的のプロジェクトを選択します。

  5. [ユーザー] ページで、管理者ユーザーに割り当てるユーザーを選択します。ユーザーが表示されない場合は、そのユーザーを検索します。

    User interface showing a list of user profiles with display names and email addresses.

  6. [追加] をクリックして管理者ユーザーを追加します。

IAM アイデンティティセンターを使用して Amazon Monitron に戻る

Amazon Monitron ウェブアプリからログアウトしても、 にサインインしている可能性があります AWS IAM Identity Center。ユーザーポータルから開いた他のアプリケーションは開いたままで実行されています。

IAM アイデンティティセンターからログアウトする方法は 2 つあります。

  • IAM アイデンティティセンターポータルから直接ログアウトします。

  • AWS IAM Identity Center は 1 時間に 1 回、ユーザーがアクティブに AWS のサービスを使用しているかどうかを確認します。使用していない場合は、IAM アイデンティティセンターから自動的にログアウトされます。

Amazon Monitron sign-out page with logo, service description, and sign back in option.

IAM アイデンティティセンターを使用する管理者ユーザーの詳細については、「ユーザーディレクトリのセットアップ」を参照してください。

Amazon Monitron と IAM Identity Center によるセキュリティのベストプラクティスについては、「 のセキュリティのベストプラクティス Amazon Monitron」を参照してください。

SSO ユーザーポータルの使用方法については、「Using the user portal」を参照してください。