緊急アクセス設定の概要 - AWS IAM Identity Center

緊急アクセス設定の概要

緊急アクセスを設定するには、次のタスクを完了する必要があります。

  1. AWS Organizationsで、組織の緊急対応アカウントを作成してください。このアカウントは緊急作業用のアカウントになります。

  2. SAML 2.0 ベースのフェデレーションを使用して IdP を緊急対応アカウントに接続します。

  3. 緊急対応アカウントで、サードパーティーの ID プロバイダーフェデレーション用のロールを作成します。また、各ワークロードアカウントに、必要な権限を持つ緊急対応ロールを作成します。

  4. 緊急対応アカウントで作成した IAM ロールに、ワークロードアカウントへのアクセスを委任します。緊急対応アカウントへのアクセスを許可するには、メンバーなしで IdP に緊急対応グループを作成します。

  5. IdP に SAML 2.0 フェデレーションのAWS Management Consoleへのアクセスを有効にするルールを作成して、IdP 内の緊急対応グループが、緊急対応ロールを使用できるようにします。

IdP の緊急対応グループにはメンバーがいないため、通常の運用中は誰も緊急対応アカウントにアクセスできません。IAM Identity Center に障害が発生した場合は、IdP を使用して信頼できるユーザーを IdP の緊急対応グループに追加します。その後、これらのユーザーは IdP にサインインして AWS Management Console に移動し、緊急対応アカウントの緊急対応ロールを引き受けることができます。そこから、これらのユーザーは、運用作業を行う必要があるワークロードアカウントの緊急アクセスロールにロールを切り替える ことができます。