翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 1: 前提条件を完了する
重要
- AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、 にお問い合わせください。 AWS Support でのチーム AWS re:Post
ウォークスルーを開始する前に、次のセットアップ手順を完了します。これらのセットアップ手順には、 へのサインアップが含まれます。 AWS アカウント、管理ユーザーの作成、 へのアクセス許可の割り当て AWS OpsWorks スタック。
すでに「使用開始: サンプル」または「入門ガイド: Linux」ウォークスルーを完了している場合、このウォークスルーの前提条件を満たしており、省略して「ステップ 2: 基本的なアプリケーションサーバースタックを作成する」に進むことができます。
トピック
にサインアップする AWS アカウント
をお持ちでない場合 AWS アカウントで、次の手順を実行して作成します。
にサインアップするには AWS アカウント
https://portal.aws.amazon.com/billing/サインアップ
を開きます。 オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。
にサインアップするとき AWS アカウント、 AWS アカウントのルートユーザー が作成されます。ルートユーザーはすべての にアクセスできます AWS のサービス アカウントの および リソース。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/
管理アクセスを持つユーザーを作成する
にサインアップした後 AWS アカウント、 をセキュリティで保護する AWS アカウントのルートユーザー、有効化 AWS IAM Identity Center、および日常的なタスクにルートユーザーを使用しないように管理ユーザーを作成します。
のセキュリティ保護 AWS アカウントのルートユーザー
-
にサインインします。AWS Management Console
ルートユーザーを選択し、 AWS アカウント E メールアドレス。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、「」の「ルートユーザーとしてサインインする」を参照してください。 AWS サインイン ユーザーガイド 。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、「 の仮想MFAデバイスの有効化」を参照してください。 AWS アカウントIAM ユーザーガイドのルートユーザー (コンソール)。
管理アクセスを持つユーザーを作成する
-
IAM Identity Center を有効にします。
手順については、「 の有効化」を参照してください。 AWS IAM Identity Center ()AWS IAM Identity Center ユーザーガイド 。
-
IAM Identity Center で、ユーザーに管理アクセス権を付与します。
の使用に関するチュートリアル IAM アイデンティティセンターディレクトリ ID ソースとして、「デフォルトを使用してユーザーアクセスを設定する」を参照してください。 IAM アイデンティティセンターディレクトリ ()AWS IAM Identity Center ユーザーガイド 。
管理アクセス権を持つユーザーとしてサインインする
-
IAM Identity Center ユーザーでサインインするには、IAMIdentity Center ユーザーの作成時に E メールアドレスにURL送信されたサインインを使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、「 へのサインイン」を参照してください。 AWS の アクセスポータル AWS サインイン ユーザーガイド 。
追加のユーザーにアクセス権を割り当てる
-
IAM Identity Center で、最小特権のアクセス許可を適用するベストプラクティスに従うアクセス許可セットを作成します。
手順については、「」の「アクセス許可セットの作成」を参照してください。 AWS IAM Identity Center ユーザーガイド 。
-
グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「」の「グループの追加」を参照してください。 AWS IAM Identity Center ユーザーガイド 。
サービスアクセス権限を割り当てます。
へのアクセスを有効にする AWS OpsWorks スタックサービス (および AWS OpsWorks スタックは、ロールまたはユーザーに AWSOpsWorks_FullAccess
および アクセスAmazonS3FullAccess
許可を追加することで ) に依存します。
アクセス許可の追加の詳細については、IAM「ID アクセス許可の追加 (コンソール)」を参照してください。
以下を確認してください。 AWS OpsWorks ユーザーがドメインに追加されるスタック
Chef 12.2 スタックでは、付属のaws_opsworks_users
クックブックによって、Windows ベースのインスタンスへの SSHおよびリモートデスクトッププロトコル (RDP) アクセスを持つユーザーが作成されます。スタック内の Windows インスタンスを Active Directory ドメインに結合すると、 AWS OpsWorks スタックユーザーは Active Directory に存在しません。ドメインとの結合後に再起動すると、Active Directory でユーザーが認識されない場合はインスタンスの状態が setup failed
になります。ドメインに参加している Windows インスタンスでは、 を付与するだけでは不十分です。 AWS OpsWorks ユーザーアクセス許可ページでユーザーSSH/RDPアクセスをスタックします。
Chef 12.2 スタックの Windows インスタンスを Active Directory ドメインに結合する前に、すべての AWS OpsWorks Windows ベースのスタックのスタックユーザーは、ドメインのメンバーです。これを行う最善の方法は、Windows ベースのスタックを作成するIAM前に でフェデレーティッド ID を設定し、フェデレーティッドユーザーを にインポートすることです。 AWS OpsWorks スタック内のインスタンスをドメインに結合する前のスタック。これを行う方法の詳細については、 AWS セキュリティブログの「Windows Active Directory、、ADFSおよび 2.0 SAML AWSの使用へのフェデレーションの有効化