でのダイレクトIAMフェデレーションアプリケーションの 1 回限りのセットアップ Okta - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのダイレクトIAMフェデレーションアプリケーションの 1 回限りのセットアップ Okta

  1. にサインインする Okta 管理者権限を持つユーザーとしての アカウント。

  2. 左 Okta 管理コンソールのアプリケーション で、アプリケーションを選択します。

  3. [アプリカタログを参照] を選択します。を検索して選択する AWS アカウントフェデレーション 。それから[統合の追加] を選択します。

  4. で直接IAMフェデレーションを設定する AWS の「 2.0 SAML の設定方法」のステップに従います。 AWS アカウントフェデレーション

  5. サインオンオプションタブで 2.0 SAML を選択し、グループフィルターロール値パターンの設定を入力します。ユーザーディレクトリのグループ名は、設定するフィルターによって異なります。

    グループフィルターまたはロール値パターンの accountid とロールの 2 つのオプション。

    上の図では、role 変数は緊急アクセスアカウントの緊急運用のロール用です。例えば、 で (マッピングテーブルで説明されているように) EmergencyAccess_Role1_ROロールを作成する場合 AWS アカウント 123456789012、およびグループフィルター設定が上の図に示すように設定されている場合、グループ名は である必要がありますaws#EmergencyAccess_Role1_RO#123456789012

  6. ディレクトリ (Active Directory 内のディレクトリなど) に緊急アクセスグループを作成し、ディレクトリの名前 (例:aws#EmergencyAccess_Role1_RO#123456789012) を指定します。既存のプロビジョニングメカニズムを使用して、ユーザーをこのグループに割り当てます。

  7. 緊急アクセスアカウントで、中断中に緊急アクセスの役割を引き受けるのに必要なアクセス許可を提供するカスタム信頼ポリシーを設定します。EmergencyAccess_Role1_RO ロールに添付されているカスタム 信頼ポリシー のステートメントの例を以下に示します。図については、緊急時のロール、アカウント、グループのマッピングを設計する方法 の図の緊急アカウントを参照してください。

    {
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":"arn:aws:iam::123456789012:saml-provider/Okta"
         },
         "Action":[
            "sts:AssumeRoleWithSAML",
            "sts:SetSourceIdentity",
            "sts:TagSession"
         ],
         "Condition":{
            "StringEquals":{
               "SAML:aud":"https:~/~/signin.aws.amazon.com/saml"
            }
         }
      }
   ]
}

  8. 以下は、EmergencyAccess_Role1_ROロールに適用されているアクセス 権限ポリシー のステートメントの例です。図については、緊急時のロール、アカウント、グループのマッピングを設計する方法 の図の緊急アカウントを参照してください。

    {
    "Version": "2012-10-17",
    "Statement":[
      {
         "Effect":"Allow",
         "Action":"sts:AssumeRole",
         "Resource":[
            "arn:aws:iam::<account 1>:role/EmergencyAccess_RO",
            "arn:aws:iam::<account 2>:role/EmergencyAccess_RO"
         ]
      }
   ]
}

  9. ワークロードアカウントで、カスタム信頼ポリシーを設定します。EmergencyAccess_RO ロールに添付されている 信頼ポリシー のステートメントの例を以下に示します。この例では、アカウント 123456789012 は緊急アクセスアカウントです。図については、緊急時のロール、アカウント、グループのマッピングを設計する方法の図の「ワークロードアカウント」を参照してください。

    {
    "Version": "2012-10-17",
    "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:root"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}
    注記

    ほとんどの IdPs では、アプリケーション統合を必須になるまで非アクティブ化しておくことができます。緊急アクセスに必要なまで、IdP で直接IAMフェデレーションアプリケーションを非アクティブ化しておくことをお勧めします。